漏洞披露政策
背景
漏洞披露政策(VDP)为您提供在我们的产品、服务及系统中报告潜在安全漏洞的操作指南。本政策为客户和公众提供了一种安全、合法、可协调的方式,以负责任地披露安全问题。
请注意:Keeper Security, Inc. 同时运营官方漏洞赏金计划。根据本漏洞披露政策 (VDP) 提交的报告将被接收和审查,但不会提供经济奖励或后续协调跟进。
示波器
本政策适用于由 Keeper Security 拥有和运营的以下系统:
- Web 应用程序
- API 接口
- 手机应用程序
- 由 Keeper Security 拥有和运营的所有服务
漏洞报告指南
如果您发现潜在的安全漏洞,请按以下步骤操作:
- 请通过漏洞披露表进行报告。
- 请提供清晰的描述,并附上相关技术细节。
- 在我们确认并修复漏洞之前,请勿公开披露相关信息。
- 避免进行任何可能中断系统、损害数据或影响客户的操作。
漏洞测试行为规范
根据本政策及适用的 Keeper 条款,您不得进行以下行为:
- 利用漏洞超过验证其存在所必需的范围。
- 访问、修改或泄露客户或员工数据。
- 侵犯隐私、破坏服务、可用性或影响系统完整性。
- 使用自动扫描工具,导致高流量或拒绝服务(DoS)情况。
漏洞赏金计划
Keeper Security, Inc. 还运营一个独立的公共漏洞赏金计划“Bugcrowd”,为符合条件的参与者提供协调参与及奖励。此漏洞赏金计划与本漏洞披露政策(VDP)是独立分开的。
通过本 VDP 提交的报告将由 Keeper Security, Inc. 自行决定是否接受和审查;除非通过漏洞赏金计划,否则不符合获得经济补偿或协调沟通的条件。
研究人员如希望参与漏洞赏金计划,可在通过本 VDP 提交报告时表明意向,Keeper Security, Inc. 可能会邀请其加入。欲了解更多信息,请访问 Bugcrowd。
