Splashtop Inc.是遠端存取軟體和服務的領先提供商,致力於確保客戶的安全性。為此,Splashtop現在正在規範我們的政策,以接受產品中的漏洞報告。我們希望與安全社區建立開放的合作夥伴關係,並且我們認識到安全社區所做的工作對於繼續確保我們所有客戶的安全至關重要。

我們制定了這項政策,既體現了我們的公司價值觀,又對我們提供專業知識的誠實安全研究人員承擔法律責任。

法律程序

Splashtop Inc.將不對透過我們的漏洞報告表提交漏洞報告的個人用戶用戶用戶採取法律行動。我們公開接受當前列出的Splashtop產品的報告。我們同意不對以下人員採取法律行動:

  • 從事系統/研究的測試,而不會損害Splashtop或其客戶
  • 在我們的漏洞披露計劃範圍內從事漏洞測試
  • 如果您無意間遇到了使用者數據,請立即與Splashtop聯繫。不要查看,更改,保存,存儲,傳輸或以其它方式訪問數據,並在將漏洞報告給Splashtop時立即清除任何本地信息。
  • 遵守其地點和Splashtop地點的法律。例如,由於Splashtop授權該活動(逆向工程或規避保護措施)以改善其係統,因此違反法律只會導致Splashtop提出索賠(而不是刑事索賠),這是可以接受的。
  • 在共同協定到期前,不要向公眾披露漏洞的詳細訊息

偏好、優先順序和接受標準

我們將使用以下標準對提交進行優先排序和分類。

我們希望從您那裡看到:

  • 書寫得當的英文報告將更有可能被優先解決。
  • 包含概念驗證代碼的報告使我們能夠更好地進行分類。
  • 僅包含故障轉儲或其它自動工具輸出的報告可能會獲得較低的優先級。
  • 包含不在初始合併範圍列表中的產品的報告可能會獲得較低的優先級。
  • 請提供您發現錯誤的方式,影響以及任何可能的補救措施。
  • 如果您想與我們合作披露漏洞,請告訴我們。我們將竭誠與您合作,盡可能披露漏洞。

您可以從我們這裡得到什麼:

  • 在對提交進行分類後的3個工作日內,您將收到有關提交的反饋。
  • 進行分類之後,我們將發送預期的時間表,並承諾對補救時間表以及可能延長該時間表的問題或挑戰盡可能透明。
  • 討論問題的開放對話框。
  • 在漏洞分析完成我們的審核的每個階段時發出通知。

如果我們無法解決通信問題或其它問題,則Splashtop可能會請中立的第三方(例如CERT / CC,ICS-CERT或相關監管機構)協助確定如何最好地處理漏洞。

如何提交漏洞

要將漏洞報告提交給Splashtop的產品安全團隊,請填寫以下訊息:

版本說明

版本1.0:創建的負責任的披露政策(05/12/2020)