Bug 悬赏政策
在 Firecore,我们优先考虑保持所有产品的高度安全性。 为了加强整体安全性,我们热忱欢迎各位向我们团队披露发现的潜在安全或数据泄漏的风险。
报告问题时,请遵循以下指导原则。
- 只访问和公开您自己的数据
- 如果发生意外访问或泄露其他数据的情况,请立即向我们报告。 请勿在此时尝试进一步开发
- 避免使用可能降低其他用户服务质量的工具和技术
- 对漏洞严格保密,仅向 Firecore 披露
兴趣面(AOI)
虽然我们重视每一份提交的信息,但许多提交的信息往往微不足道,对 Firecore 服务和用户的安全影响甚微。 但是,我们对以下情况特别感兴趣 :
- 在应用程序或云基础设施中执行远程代码
- 针对我们云基础设施的权限升级攻击
- 验证攻击
- 跨站脚本 (XSS)
- 跨站请求伪造(CSRF/XSRF)
请注意,悬赏政策不涵盖以下类型的投稿:
- 拒绝服务漏洞(DoS)
- Cookies处理不当
- 在 Firecore 服务使用的第三方网站和软件中发现的安全漏洞
- 试图向他人发送恶意文件或链接
- 垃圾邮件、网络钓鱼或利用社交工程策略的情况
复现性
为了获得任何形式的奖励,我们的工程师必须能够重现提交的问题。 因此,请在报告中明确说明问题,这样做将为所有相关方节省时间。
奖励
我们感谢那些按照上述准则负责任地披露任何漏洞的人,因为他们的协助有助于我们加强客户数据的安全。
需要注意的是:我们的奖励计划是自行决定的,Firecore 保留在必要时更改或终止该政策的权利。
请注意,奖励只针对未知漏洞;通过内部评估或外部报告已经知道的问题将不符合本政策。
我们很高兴为所有符合条件的报告提供终身免费订阅 Infuse Pro 的服务! 如果您已经购买了Infuse终身版本,或者您不使用 Infuse,我们将向您提供相应的现金等价物。
如何提交报告
要向 Firecore 报告潜在的安全问题,请按照以下步骤操作:
- 发送一条安全消息
- 确保您的报告包含基本信息,如平台、应用程序版本、所需的漏洞利用条件、概念验证或漏洞利用代码支持的描述、漏洞利用后的潜在影响以及任何相关附件。
- 请勿直接联系个别员工
- 只有通过指定途径提交的材料才有资格获得奖励
如果我们有任何与报告相关的问题,一定会联系您。 感谢您协助我们提高服务的整体安全性。