Splashtop Inc.是远程访问软件和服务的领先提供商,致力于确保客户的安全性。为此,Splashtop现在正在规范我们的政策,以接受产品中的漏洞报告。我们希望与安全社区建立开放的合作伙伴关系,并且我们认识到安全社区所做的工作对于继续确保我们所有客户的安全至关重要。
我们制定了这项政策,既体现了我们的企业价值观,又对我们提供专业知识的诚实的安全研究人员承担法律责任。
法律声明
Splashtop Inc.不会对通过“漏洞报告表”提交漏洞报告的个人采取法律行动。我们公开接受当前列出的Splashtop产品的报告。我们同意不对以下人员采取法律行动:
- 从事系统/研究的测试,而不会损害Splashtop或其客户
- 在我们的漏洞披露计划范围内从事漏洞测试
- 如果您无意间遇到了用户数据,请立即与Splashtop联系。不要查看,更改,保存,存储,传输或以其他方式访问数据,并在将漏洞报告给Splashtop时立即清除任何本地信息。
- 遵守其位置和Splashtop位置的法律。例如,由于Splashtop授权该活动(逆向工程或规避保护措施)以改善其系统,因此违反法律只会导致Splashtop提出索赔(而不是刑事索赔),这是可以接受的。
- 在共同商定的期限到期之前,不要向公众披露漏洞的详细信息
偏好,优先级和接受标准
我们将使用以下标准对提交进行优先排序和分类。
我们希望从您那里看到:
- 英文写得好的报告将更有可能被解决。
- 包含概念验证代码的报告使我们能够更好地进行分类。
- 仅包含故障转储或其他自动工具输出的报告可能会获得较低的优先级。
- 包含不在初始合并范围列表中的产品的报告可能会获得较低的优先级。
- 请提供您发现错误的方式,影响以及任何可能的补救措施。
- 如果您想与我们合作披露漏洞,请告诉我们。我们将竭诚与您合作,尽可能披露漏洞。
您可以从我们这里得到什么:
- 在对提交进行分类后的3个工作日内,您将收到有关提交的反馈。
- 进行分类之后,我们将发送预期的时间表,并承诺对补救时间表以及可能延长该时间表的问题或挑战尽可能透明。
- 讨论问题的开放对话框。
- 在我们的审核的每个阶段漏洞分析完成时发出通知。
如果我们无法解决通信问题或其他问题,则Splashtop可能会请中立的第三方(例如CERT / CC,ICS-CERT或相关监管机构)协助确定如何最好地处理漏洞。
如何提交漏洞
要将漏洞报告提交给Splashtop的产品安全团队,请填写以下信息:
版本说明
版本1.0:制定负责任的披露政策(05/12/2020)