在 Sketch,我們系統和使用者的安全是我們的首要任務。無論我們在系統安全上投入多少努力,系統中仍可能存在漏洞。如果您確實發現了漏洞,我們希望您能告知我們,以便我們能採取正確的步驟盡快解決問題。我們請求您協助保護我們的客戶和系統。
您可以使用我們的聯絡表單提交您的發現。
範圍
以下區域被視為範圍內
Sketch 網站(行銷和網頁應用程式)和 Mac 應用程式(授權系統)。
- sketch.com - 行銷網站和網頁應用程式
- Sketch API
以下區域被視為範圍外
- 需要存取已被入侵帳戶的漏洞(除非存取帳戶會暴露*其他*帳戶)
- 政策而非實作 - 電子郵件驗證、密碼長度或重複使用等。
- 垃圾郵件(除非特定漏洞導致容易發送垃圾郵件)
- 缺少安全標頭或「最佳實務」(除非您可以證明利用其缺失的漏洞)
- 我們的開放原始碼軟體中的漏洞(除非您有概念驗證說明如何在 Sketch 產品上使用特定漏洞)
- 分散式阻斷服務攻擊 (DDoS)
- 社交工程攻擊
- 我們使用但不控制的第三方應用程式。(例如,我們託管在外部服務上的論壇或電子報)
- 第三方開發人員使用我們的公開 API 建立的整合和擴充功能
- 與我們的授權系統相關的漏洞
請注意,我們目前已知缺少速率限制控制。這使得目前與速率限制相關的報告超出範圍,直到完全解決此問題為止。
阻斷服務攻擊
- 請盡快回報漏洞,以盡量降低惡意行為者發現並利用漏洞的風險。
- 請以保密的方式回報您的發現,確保他人無法取得相關資訊。
- 請提供足夠的資訊以便我們重現問題並解決問題。通常,受影響系統的 IP 位址或 URL 以及漏洞描述就已足夠。然而,複雜的漏洞可能需要更進一步的說明。
注意事項
- 在問題解決之前,未經事先書面同意,請勿向他人透露漏洞或問題。
- 請勿在資訊系統中自行建置後門程式,並以此來展示漏洞,因為這麼做可能會造成額外的損害,並產生不必要的安全風險。
- 請勿在確認漏洞存在後,繼續利用該漏洞。
- 請勿複製、修改或刪除系統上的資料。您可以改為列出系統的目錄清單。
- 請勿更改系統設定。
- 請勿重複存取系統或與他人共用存取權限。
- 請勿使用暴力破解攻擊、實體安全攻擊、社交工程、分散式阻斷服務攻擊、垃圾郵件或第三方應用程式來存取系統。
我們的承諾
- 我們將在 5 個工作天內回覆您的報告,並提供我們對報告的評估以及預計的解決日期。
- 如果您已遵循上述指示,我們不會就該報告對您採取任何法律行動。
- 未經您的許可,我們不會將您的個人資料傳遞給第三方,除非法律有強制規定。您可以選擇匿名或使用假名回報。
- 我們會持續告知您問題解決的進度。
- 在有關回報問題的公開資訊中,我們會將您列為問題的發現者(除非您不希望這樣做)。
我們致力於盡快解決所有問題,並希望在問題解決後,在最終發布的資訊中扮演積極的角色。
獎勵
我們目前沒有針對識別漏洞和錯誤的獎勵制度,但我們正在探討未來啟動漏洞賞金計畫的可能性。如果您想參與,請與我們聯繫。同時,如果您發現任何漏洞,請與我們聯繫。
此負責任揭露政策是根據 Floor Terra 撰寫的範例和 NCSC 的負責任揭露準則所制定。
