概述
在 Edovia,安全是重中之重,我們歡迎安全研究人員和公眾負責任地報告漏洞。如果您認為在我們的產品或服務中發現了安全問題、隱私問題或暴露的數據,我們鼓勵您與我們分享。本文檔概述了如何報告安全問題、我們的承諾和期望。
範圍
此政策適用於:
- Edovia 軟體和產品
- Edovia 運營的服務和基礎設施
- 與我們產品相關的文件
排除
以下類型的報告不在此策略的適用範圍內:
- 物理安全問題(例如,辦公室訪問、未經授權的進入)
- 社會工程攻擊(例如網路釣魚、假冒嘗試)
- 未在 Scope 部分中明確列出的系統中的問題
- 外觀問題(例如,沒有安全影響的 UI/UX 錯誤)
- 印刷錯誤
- 拒絕服務 (DoS/DDoS) 漏洞
- 不受 Edovia 管理的第三方服務
如果您在超出範圍的系統中發現問題,我們鼓勵您將其報告給相應的供應商或組織。
您可以從我們這裡得到什麼
當您真誠地報告有效的安全問題時,我們將:
- 確認您的報告並儘快開始評估
- 在審核報告時讓您了解報告的狀態
- 根據安全漏洞的嚴重性和影響解決安全漏洞
- 在披露時遵循本政策中的準則,提供安全港保護
負責任的披露準則
為確保負責任和有效的披露流程,我們要求您:
- 在調查安全問題時,請遵循本政策和任何適用條款
- 及時報告調查結果,避免可能干擾服務或用戶的行為
- 將測試限制為證明問題所必需的
- 使用官方管道傳達安全問題
- 在公開披露之前,請給我們合理的時間來解決問題
- 僅測試範圍內的系統,並避免任何明確排除的目標
- 使用您擁有或具有明確使用許可權的測試帳戶
- 避免任何可能被解釋為敲詐勒索或要求賠償的行為
報告安全問題
要報告安全問題,請使用以下官方管道:
https://edovia.com/.well-known/security.txt
您提供的詳細資訊越多,我們評估和解決問題的速度就越快。
安全港
如果您本著善意並按照本政策進行安全研究,我們將:
- 認為您的研究已獲得適用的反駭客法律授權
- 不對無意的違規行為採取法律行動
- 不對您的測試執行反規避法律
- 將您的發現視為提高安全性的努力,而不是違反我們的條款
如果第三方因您進行符合本政策的研究而對您採取法律行動,我們將告知您的行為遵循了負責任的披露原則。
如果您不確定您的測試是否符合此政策,請在繼續之前與我們聯繫。
注意: 安全港僅適用於 Edovia 控制下的合法索賠,不適用於獨立第三方。
懸賞計劃
請注意,Edovia 不參與漏洞懸賞或獎勵計劃。我們感謝負責任的漏洞回報,但目前不提供金錢獎勵或其他形式的獎勵。