漏洞披露策略

在SolarWinds,我们有责任认真保护客户的信息以及我们为他们提供的软件和服务。

我们希望安全研究人员能够放心地报告他们在本政策中发现的漏洞,以便我们能够补救这些漏洞,并帮助我们保证我们的信息以及我们提供的软件和服务的安全。

该政策描述了涉及的系统和研究类型、参与规则、如何向我们发送漏洞报告,以及我们要求安全研究人员在公开披露漏洞之前等待多长时间。我们保留随时更新本政策的权利,因此请定期查看本政策。

目的

我们漏洞披露政策的主要目标是帮助确保及时修补或修复漏洞,最终目标是保护我们客户和用户的信息。此策略旨在为报告潜在的未知或有害的安全漏洞提供明确的指导方针。

的指导方针

我们要求您:

  1. 尽一切努力避免侵犯隐私、降低用户体验、破坏生产系统以及破坏或操纵数据。
  2. 仅在确认漏洞所需的范围内使用利用。不要利用漏洞破坏或窃取数据,建立命令行访问和/或持久性,或利用漏洞“转向”其他系统。一旦您确定存在漏洞,或遇到下面列出的任何敏感数据,您必须立即停止测试并通知我们。
  3. 对发现的漏洞的任何信息保密。详情请查阅协调披露部分。

范围

此政策适用于*.solarwinds.com域名和此处可用的产品:manbetx买球靠谱
//m.regio-tour.com/downloads

上述未明确列出的任何产品或服务,如任何连接的服务,均不在测试范围之内,且未经授权进行测试。

此外,在我们的服务提供商的系统中发现的漏洞不在本政策的范围内,应根据其披露政策(如有)直接报告给服务提供商。如果您不确定系统或端点是否在范围内,请与我们联系PSIRT@solarwinds.com在开始您的研究之前,让我们帮助您确定活动是否在范围内。

交战规则

我们只是要求研究人员遵循这些简单的参与规则,以限制我们公司和/或我们客户的数据可能面临的风险:

  1. 在测试过程中,不要以危及机密性、完整性和/或非您明确拥有的任何资源可用性的方式利用已识别的漏洞。
  2. 请勿在测试时使用您的发现进行网络钓鱼、垃圾邮件、社会工程或以其他方式欺骗任何客户或SolarWinds员工以获得更多访问权限。
  3. 不要试图物理访问SolarWinds的财产,试图对员工进行社会工程,或以其他方式试图发现针对SolarWinds的数字手段之外的风险。
  4. 请勿对任何SolarWinds资源执行拒绝服务(DoS)或分布式拒绝服务(DDoS)攻击,以证明对可疑安全问题的影响。

如果您在本政策范围内进行测试时遇到以下任何情况,我们要求您立即停止测试并通知我们:

  • 个人身份信息
  • 财务信息(如信用卡或银行账号)
  • 您怀疑是或可能被合理认为是本公司或任何其他方的专有或商业秘密的信息
  • 拒绝服务或站点和应用程序没有响应的情况

报告漏洞

我们接受通过电子邮件的漏洞报告PSIRT@solarwinds.com.我们还支持pgp加密的电子邮件,我们的公钥可用于保护与SolarWinds的任何通信。

你的报告应该包括:

  1. 漏洞的位置和潜在影响的描述。
  2. 再现漏洞所需步骤的详细描述。概念验证(POC)脚本、屏幕截图和屏幕截图都很有帮助。请非常小心地适当标记和保护任何利用代码。
  3. 任何技术信息和相关材料,我们将需要再版的问题。
  4. 请保持您的漏洞报告最新通过发送给我们任何新的信息,因为它是可用的。

我们可能会将您的漏洞报告共享给外部第三方以及任何受影响的供应商或开源项目。

授权

您必须遵守与您的安全研究活动或以其他方式参与此漏洞披露计划有关的所有适用的联邦、州和地方法律。

如果您在安全研究期间真诚地遵守这项政策,我们将认为您的研究符合这项政策,我们将与您合作,迅速了解并解决问题。-理解我们不能控制第三方的权利或要求。

协调披露

SolarWinds致力于修复向我们报告的经过验证和验证的漏洞,并在产品发布说明中披露这些漏洞的详细信息。manbetx买球靠谱我们知道公开漏洞披露是漏洞披露过程的重要组成部分,使软件变得更好的最好方法之一是使每个人都能从彼此的错误中学习。

与此同时,我们认为,在没有现成的解决方案的情况下进行披露往往会增加风险,而不是降低风险,因此我们要求您在我们努力为客户提供解决方案时不要与他人分享您的报告。如果您认为在修复可用之前,还有其他人应该被告知您的报告,请让我们知道,以便我们考虑其他安排。

我们欢迎并支持联合发布协调咨询,但如果您愿意,也欢迎您自行披露。默认情况下,我们倾向于披露一切,但除非法律要求,否则我们将诚实行事,在未经您许可的情况下绝不发布有关您的信息或我们与您的通信。在某些情况下,我们也可能有一些敏感的信息需要进行编辑,因此在自我披露之前请与我们核实。

你能从我们这里得到什么

  1. 当您选择与我们分享您的联系信息时,我们承诺将尽可能公开和迅速地与您协调。
  2. 在3个工作日内,我们将确认您的报告已收到。
  3. 我们将尽最大努力向您确认漏洞的存在,并尽可能透明地说明我们在补救过程中采取的步骤,包括可能会延迟解决的问题或挑战。
  4. 我们将保持公开对话,讨论问题。

SolarWinds PSIRT PGP公钥

当向太阳风发送有关漏洞和/或其他敏感安全信息时,我们要求您对与安全团队的通信进行加密。我们已经发布了一个公共PGP密钥,您可以使用它来:

  • 验证发送给太阳风的安全通知的真实性
  • 加密任何包含敏感信息的信息给太阳风psirt@solarwinds.com
  • 请不要向我们发送个人身份信息。

获取PGP密钥

您可以从PGP公司获得PGP Desktop的商业或免费试用版本。此外,GnuPG是免费软件。

太阳风安全小组PGP密钥

安全团队公钥被上传到安全的全局PGP目录,该目录发布最新的PSIRT密钥、过期日期和证书撤销状态。

SolarWinds PSIRT公钥发布到以下PGP全局目录:

https://pgp.circl.lu/

http://keys.gnupg.net/

我们Geekbuilt。®

SolarWinds由网络和系统工程师开发,他们知道如何管理当今动态的it环境,SolarWinds与it社区有着深厚的联系。

结果呢?有效的、可访问的、易于使用的manbetx买球靠谱IT管理产品。

公司 投资者 职业中心 安全设计 这术语表
资源中心 偏好中心 为客户 为政府 GDPR资源中心
法律文件 隐私 加州隐私权 安全信息 文档和卸载信息 信任中心 信息披露政策
©2023 SolarWinds Worldwide, LLC.版权所有。
关闭
{{静态内容}}
{{CAPTION_TITLE}}

{{CAPTION_CONTENT}}

{{标题}}