Splashtop负责任的披露政策
Splashtop Inc.是一家领先的远程访问软件和服务的供应商,致力于确保我们客户的安全和保障。 为此,Splashtop现在正式确定我们接受产品中的漏洞报告的政策。 我们希望促进与安全社区的开放合作关系,我们认识到社区所做的工作对于继续确保我们所有客户的安全和安保是非常重要的。
我们制定这一政策,既是为了反映我们的企业价值观,也是为了维护我们对向我们提供专业知识的善意安全研究人员的法律责任。
法律姿态
Splashtop Inc.不会对通过我们的漏洞报告表提交漏洞报告的个人采取法律行动。 我们公开接受对目前列出的Splashtop产品的报告。 我们同意不对以下个人采取法律行动。
在不损害Splashtop或其客户的情况下参与系统/研究的测试工作
在我们的漏洞披露计划的范围内参与漏洞测试
如果你确实无意中遇到了用户数据,请立即联系Splashtop。 不要查看、更改、保存、存储、转移或以其他方式访问数据,并在向Splashtop报告漏洞后立即清除任何本地信息。
遵守他们所在地和Splashtop所在地的法律。 例如,违反法律只会导致Splashtop的索赔(而不是刑事索赔),这可能是可以接受的,因为Splashtop正在授权该活动(逆向工程或规避保护措施)以改善其系统。
在双方商定的时间框架到期之前,避免向公众披露漏洞细节
偏好、优先顺序和接受标准
我们将使用以下标准对提交的材料进行优先排序和分流。
我们希望从你那里看到什么。
用英语写的好的报告将有更大的机会得到解决。
包括概念验证代码的报告使我们能够更好地进行分流。
只包括崩溃转储或其他自动工具输出的报告可能会得到较低的优先权。
包括不在初始范围清单上的产品的报告可能得到较低的优先权。
请包括你是如何发现这个错误的,影响,以及任何潜在的补救措施。
如果你愿意与我们合作,披露一个漏洞,请告诉我们。 在可能的情况下,我们将真诚地努力与你合作,披露漏洞。
你可以从我们这里期待什么。
你将在提交材料被分流后的3个工作日内收到关于你提交材料的反馈。
在分流之后,我们将发送一个预期的时间表,并承诺在补救时间表以及可能延长时间表的问题或挑战方面尽可能透明。
公开对话,讨论问题。
脆弱性分析完成我们审查的每个阶段时的通知。
如果我们无法解决沟通问题或其他问题,Splashtop可能会引入中立的第三方(如CERT/CC,ICS-CERT,或相关监管机构)来协助确定如何最好地处理该漏洞。
如何提交漏洞
要向Splashtop的产品安全团队提交漏洞报告,请填写以下信息。