Zgłaszanie podatności
Security researcherzy mogą odpowiedzialnie zgłaszać podatności. Najpierw zapoznaj się z zasadami safe harbor i zakresem dopuszczalnych testów.
Polityka safe harbor
Specteron wspiera good-faith security research. Jeśli działasz zgodnie z tymi zasadami i nie narażasz klientów na szkodę, Twoja aktywność będzie traktowana jako autoryzowane badanie.
Responsible disclosure nie powinno tworzyć niepotrzebnego ryzyka prawnego dla osób, które działają ostrożnie i szybko zgłaszają problem.
Zasady prowadzenia testów
Badania muszą mieścić się w wąskim zestawie bezpiecznych granic, aby chronić klientów i stabilność platformy.
- Bez exfiltracji danych: Nie pobieraj danych klientów. Jeśli dojdzie do przypadkowej ekspozycji, natychmiast przerwij test i zgłoś problem.
- Bez zakłócania usługi: Nie wykonuj testów denial-of-service, agresywnego fuzzingu ani ataków fizycznych.
- Autoryzowany zakres: Testuj wyłącznie konta, które należą do Ciebie lub do których masz wyraźną zgodę. Nie celuj w tenantów należących do stron trzecich.
Jak zgłosić problem
Wyślij zwięzłe podsumowanie, kroki odtworzenia i proof of concept potrzebny do triage.
Wrażliwe zgłoszenia warto zaszyfrować kluczem wskazanym w `/.well-known/security.txt`.
Docelowe czasy odpowiedzi
Specteron dąży do jasnych oczekiwań wobec acknowledgement, triage i remediation dla uzasadnionych zgłoszeń.
- Acknowledgement: W ciągu 48 godzin roboczych.
- Triage: W ciągu 5 dni roboczych z pierwszą oceną ważności i severity.
- Resolution: Zależy od wagi i złożoności, a krytyczne przypadki są eskalowane natychmiast.