在 Sketch,我们系统和用户的安全是首要任务。 无论我们在系统安全方面投入多少努力,仍然可能存在漏洞。 如果您确实发现了漏洞,我们希望了解它,以便我们可以采取正确的步骤尽快解决它。 我们请求您的帮助来保护我们的客户和我们的系统。
您可以使用我们的联系表提交您的发现。
范围
以下区域被认为是在范围内
Sketch 网站(营销和 Web 应用程序)和 Mac 应用程序(许可系统)。
- sketch.com - 营销网站和 Web 应用程序
- Sketch API
以下区域被认为是超出范围
- 需要访问已受损帐户的漏洞(除非访问某个帐户会暴露其他帐户)
- 政策而不是实现 - 电子邮件验证、密码长度或重复使用等。
- 垃圾邮件(除非特定漏洞导致容易发送垃圾邮件)
- 缺少安全标头或“最佳实践”(除非您能够证明存在利用其缺失的漏洞)
- 我们开源软件中的漏洞(除非您有概念验证,证明该特定漏洞如何在 Sketch 产品上使用)
- 分布式拒绝服务攻击 (DDoS)
- 社会工程攻击
- 我们使用但不控制的第三方应用程序。(例如,我们托管在外部服务上的论坛或新闻通讯)
- 第三方开发者使用我们的公共 API 创建的集成和扩展
- 与我们的许可系统相关的漏洞
请注意,我们目前已知缺少速率限制控件。 这使得目前与速率限制相关的报告超出范围,直到此问题得到完全解决。
应该做的事
- 请尽可能快地报告漏洞,以最大程度地降低恶意行为者发现并利用它的风险
- 请以保护报告机密性的方式报告您的发现,以便其他人无法访问该信息
- 请提供足够的信息来重现问题,以便我们能够解决它。 通常,受影响系统的 IP 地址或 URL 以及漏洞描述就足够了。 但是,复杂的漏洞可能需要进一步解释
不应该做的事
- 在问题解决之前,未经事先书面同意,请勿向他人透露漏洞或问题
- 请勿在信息系统中构建自己的后门,然后打算使用它来演示漏洞,因为这样做可能会造成额外的损害并产生不必要的安全风险
- 请勿过度利用漏洞,超出确定其存在的必要程度
- 请勿复制、修改或删除系统上的数据。 一种替代方法是创建系统的目录列表
- 请勿更改系统
- 请勿重复访问系统或与他人共享访问权限
- 请勿使用暴力破解攻击、物理安全攻击、社会工程、分布式拒绝服务、垃圾邮件或第三方应用程序来访问系统
我们的承诺
- 我们将在 5 个工作日内回复您的报告,并提供我们对报告的评估和预计的解决日期
- 如果您已按照上述说明进行操作,我们将不会对您就该报告采取任何法律行动
- 未经您的允许,我们不会将您的个人详细信息传递给第三方,除非这是遵守法律义务所必需的。 可以匿名或使用化名进行报告
- 我们将随时通知您解决问题的进展情况
- 在有关已报告问题的公共信息中,我们将以您作为问题的发现者来命名(除非您另有要求)
我们努力尽快解决所有问题,并且我们希望在问题解决后在问题的最终发布中发挥积极作用。
奖励
我们目前没有为识别漏洞和错误而设置的货币奖励系统,但我们正在探索未来激活漏洞赏金计划的可能性。 如果您想参与,请联系我们。 与此同时,如果您发现漏洞,请联系我们。
此负责任的披露政策基于 Floor Terra 撰写的示例和 NCSC 的负责任的披露指南。
