在 Sketch,我们最重视系统和用户的安全。无论我们投入多少精力来保障系统安全,都可能存在漏洞。如果您发现漏洞,我们希望您告知我们,以便我们尽快采取措施进行解决。我们希望您能帮助我们保护客户和系统。
您可以通过我们的 联系表单 提交您的发现。
范围
以下范围内的区域被视为在范围之内
Sketch 网站(营销网站和 Web 应用程序)以及 Mac 应用程序(许可系统)。
- sketch.com - 营销网站和 Web 应用程序
- Sketch API
以下范围内的区域被视为在范围之外
- 需要访问已遭入侵的帐户的漏洞(除非访问帐户会泄露其他帐户)
- 政策而不是实施 - 电子邮件验证、密码长度或重复使用等。
- 垃圾邮件(除非特定漏洞会导致轻松发送垃圾邮件)
- 缺少安全标头或“最佳实践”(除非您能够证明存在利用其缺失的漏洞)
- 我们开源软件中的漏洞(除非您拥有概念证明,证明特定漏洞如何在 Sketch 产品上使用)
- 分布式拒绝服务攻击(DDoS)
- 社会工程攻击
- 我们使用但无法控制的第三方应用程序。(例如,我们的论坛或新闻通讯托管在外部服务上)
- 第三方开发者使用我们公开 API 创建的集成和扩展
- 与我们的许可系统相关的漏洞
请注意,我们目前知道存在缺少速率限制控制的问题。这使得与当前速率限制相关的报告在完全解决之前处于范围之外。
待办事项
- 尽快报告漏洞,以尽量减少恶意行为者发现并利用漏洞的风险
- 以保护报告机密性的方式报告您的发现,以防止他人获得该信息
- 提供足够的信息来重现问题,以便我们能够解决问题。通常,受影响系统的 IP 地址或 URL 和漏洞描述就足够了。但是,复杂的漏洞可能需要进一步解释
禁止事项
- 在问题解决之前,不要向他人透露漏洞或问题,并且未经事先书面同意
- 不要在信息系统中构建自己的后门,然后用它来演示漏洞,因为这样做会导致额外的损害并造成不必要的安全风险
- 不要在必要范围内进一步利用漏洞以确定其存在
- 不要复制、修改或删除系统上的数据。另一种替代方法是创建系统目录列表
- 不要更改系统
- 不要重复访问系统或与他人共享访问权限
- 不要使用暴力攻击、对物理安全的攻击、社会工程、分布式拒绝服务、垃圾邮件或第三方应用程序来访问系统
我们的承诺
- 我们将在 5 个工作日内对您的报告做出回应,并提供对报告的评估和预计解决日期
- 如果您遵循了上述说明,我们不会对您就报告采取任何法律行动
- 未经您的许可,我们不会将您的个人信息传递给第三方,除非需要履行法律义务。匿名或使用化名报告是可能的
- 我们会让您了解解决问题进度的信息
- 在有关报告问题的公开信息中,我们会将您的姓名作为问题的发现者(除非您希望省略)
我们努力尽快解决所有问题,并且希望在问题解决后积极参与最终的出版工作。
奖励
我们目前还没有针对识别漏洞和错误的货币奖励系统,但我们正在探讨未来激活漏洞赏金计划的可能性。如果您想参与,请与我们联系。同时,如果您发现漏洞,请 与我们联系。
本负责任披露政策基于 Floor Terra 编写的示例和 NCSC 的负责任披露指南。
