漏洞賞金政策
在 Firecore 中,我們將維持我們所有產品中的高度安全設定為優先事項。 為了加強他們的整體安全,我們熱烈歡迎發現潛在安全風險或資料外洩的個人,以負責任的方式向我們的團隊透露。
在報告問題時,請遵循以下準則。
- 僅存取及公開自己的資料
- 如果發生其他資料的意外存取或曝光,請立即將其報告給我們。 不要在這一點上嘗試進一步開發
- 避免可能降低其他使用者服務品質的工具和技術
- 將漏洞嚴格保密,並僅將它們公開給 Firecore
利息領域
雖然我們重視每一次提交,但許多提交意見往往是微不足道的,對 Firecore 的服務和我們的使用者的安全性的影響很小。 不過,我們對以下各方面特別有興趣:
- 在我們的用戶端應用程式或雲端基礎架構中執行遠端程式碼
- 對我們的雲端基礎架構進行專用權升級攻擊
- 鑑別攻擊
- 跨網站 Scripting (XSS)
- 偽造跨網站要求( CSRF/XSRF)
請注意,獎勵計劃不涵蓋下列類型的提交項目:
- 阻斷服務漏洞( DoS)
- Cookie 的處理不當
- Firece 服務使用的第三方網站和軟體中發現的安全缺失
- 試圖傳送惡意檔案或鏈結至其他個人
- 垃圾郵件、網路釣魚或利用社會工程策略的實例
再現性
為了取得任何種類的獎勵,我們的工程師必須能夠重現問題。 因此,請在報告中明確規定,因為這樣做將為所有當事方節省時間。
獎勵
我們感謝那些負責任地根據上述準則揭露任何漏洞或漏洞的人,因為他們的協助有助於我們加強客戶資料的安全性。
值得注意的是,我們的獎賞計劃是酌情決定的,而 Firecore 保留在認為有需要時更改或終止保單的權利。
請注意,只會授與不明漏洞的獎勵;已知道的問題(透過內部評量或外部報告)將不符合補償資格。
我們很高興為所有合格報告提供 Infuse Pro 的免費終身訂閱。 如果您已成為 Infuse Pro 的授權使用者,或如果您不使用 Infuse,我們將為您提供相應的等值現金。
如何提交報告
若要將潛在的安全問題報告至 Firecore,請遵循下列步驟:
- 向我們發送安全消息
- 請確定您的報告包括重要資訊,例如平台、應用程式版本、必要的不當利用條件、概念證明或不當運用程式碼所支援的說明、如果遭到不當使用的潛在影響,以及任何相關的附件。
- 請避免直接聯絡個別員工
- 只有通過指定表格提交的意見書才有資格獲得獎勵
如果我們有任何與報告相關的問題,我們一定會讓你知道。 我們感謝您的協助,改善我們服務的整體安全。