品牌承諾
Summer 是一家致力於幫助學生貸款借款人的 B-Corp,致力於確保我們使用者的安全。為此,Summer 現已正式制定了接受產品漏洞報告的政策。我們希望與安全社區建立開放的合作夥伴關係,我們認識到社區所做的工作對於繼續確保所有客戶的安全非常重要。
我們制定此政策是為了反映我們公司的價值觀,並維護我們對為我們提供專業知識的善意安全研究人員的法律責任。
初始計劃和範圍
初始範圍
Summer 的漏洞披露計劃最初涵蓋以下產品:
- Summer 在 app.meetsummer.org 的主要 Web 應用程式
雖然 Summer 可能會開發其他產品,但我們要求所有安全研究人員僅針對所述產品清單提交漏洞報告。我們打算擴大我們的範圍,因為我們在這一進程中建立能力和經驗。
在上述產品清單中,我們將解決漏洞,但以下問題是
- 任何可能導致我們服務中斷 (DoS) 的活動。
- 需要MITM(中間人)的攻擊
- 在沒有敏感操作的頁面上進行點擊劫持。
- 未經身份驗證/註銷/登錄 CSRF。
- 內容欺騙和文本注入問題,但未顯示攻擊媒介/無法修改 HTML/CSS
- 用戶帳戶枚舉
- 要求攻擊者使用社交工程來訪問其他用戶的經過身份驗證的會話、令牌或需要對其設備進行物理訪問的漏洞。
- 依賴於未修補或過時的瀏覽器或移動平台的問題
- 自動化工具報告的漏洞,無需額外分析它們如何成為問題。
- 版本洩露、詳細錯誤消息以及唯一安全影響為「攻擊者偵測」的任何其他發現
- SPF和電子郵件反垃圾郵件「衛生」問題
如果出現以下情況,我們不會採取法律行動:
法律地位
Summer 不會對提交漏洞報告的個人採取法律行動。我們公開接受當前列出的夏季產品的報告。我們同意不對以下個人採取法律行動:
- 在不損害 Summer 或客戶的情況下進行系統/研究測試。
- 在我們的漏洞披露計劃範圍內進行漏洞測試。
- 遵守其所在地和夏季所在地的法律。例如,違反法律只會導致 Summer 提出索賠(而不是刑事索賠)可能是可以接受的,因為 Summer 正在授權該活動(逆向工程或規避保護措施)以改進其系統。
- 在雙方商定的時間範圍到期之前,避免向公眾披露漏洞細節。
溝通機制和流程
如何提交漏洞
要向 Summer 的產品安全團隊提交漏洞報告,請使用以下電子郵件: security@meetsummer.org
不具約束力的提交首選項和優先順序
首選項、優先順序和驗收標準
我們將使用以下標準對提交內容進行優先順序排序和分類。
我們希望從您那裡看到什麼:
- 用英語寫得好的報告將有更高的解決機會。
- 包含概念驗證代碼的報告使我們能夠更好地進行分類。
- 僅包含故障轉儲或其他自動化工具輸出的報表可能會獲得較低的優先順序。
- 包含不在初始範圍清單中的產品的報告可能會獲得較低的優先順序。
- 請說明您是如何發現該錯誤的、影響以及任何可能的補救措施。
您可以從我們這裡得到什麼:
- 及時回復您的電子郵件(2 個工作日內)。
- 分類后,我們將發送預期的時程表,並承諾盡可能透明地說明補救時程表以及可能延長補救時程表的問題或挑戰。
- 討論問題的開放對話。
- 當漏洞分析完成我們審查的每個階段時發出通知。
- 驗證和修復漏洞后的信用。
版本控制
本文檔版本 1.1 創建於 2021 年 3 月 19 日
