披露政策
本页面描述我如何处理安全研究,既包括我向他人报告问题时,也包括我收到关于自己所维护项目的 报告时。目标很简单:在公平、合法地对待所有相关方的同时,让真实存在的问题得到修复。
向我报告漏洞
如果您认为在我维护或运营的项目中发现了安全问题,请发送邮件至 security@mail.mcpsec.dev。有帮助的报告通常包含:
- 对该问题及其潜在影响的描述。
- 复现步骤,或概念验证(proof of concept)。
- 受影响的版本、URL 或组件。
我力求在几个工作日内确认收到报告。在任何公开披露之前,请给我合理的时间进行调查和修复, 并且在研究过程中请勿访问、修改或销毁不属于您的数据。
我如何向厂商和维护者披露
当我在他人的软件中发现漏洞时,我会遵循协同披露:
- 我会私下联系维护者或厂商,提供技术细节和修复指引。
- 我会为开发并发布修复留出合理的时间,通常最长为 90 天,并且当维护者积极参与、 本着善意开展工作时,我会保持灵活。
- 一旦修复可用或披露窗口关闭,我便会发布安全公告, 以便他人理解该问题并加以防范。
我如何通知受影响的站点运营者
有些漏洞影响大量面向互联网的部署。当出现这种情况时,我可能会通知个别运营者,告知其站点 似乎正在运行易受攻击或已停止支持的组件。在每一种情况下:
- 我只依赖站点本就提供的公开可得信息,例如版本清单。
- 我不会利用该漏洞、访问私有数据或试图获得未经授权的访问。
- 通知会指向本站上的一个页面,说明应检查哪些内容以及如何修复。请参阅 面向站点运营者。
我绝不会做的事
- 向您索要钱财、密码、凭证或对您系统的访问权限。
- 向您施压或以公开您的信息相要挟。
- 访问、篡改或外泄不属于我的数据。
隐私
我认真对待安全与隐私。作为报告的一部分与我分享的信息,仅用于调查和修复问题,不会被出售, 也不会为无关目的而分享。