协调漏洞披露政策
Sonos致力于通过及时有效的漏洞研究来保护客户的数据和隐私。我们建议安全研究人员在报告安全漏洞时遵循本协调披露政策。安全漏洞响应团队将负责接收和处理漏洞报告。本政策适用于发现或报告我们产品中漏洞的各方。本政策基于并参考ISO漏洞披露标准ISO/IEC 29147中使用的方法。
要求:
根据本政策,“漏洞研究”是指安全研究人员进行的活动:
- 新发现真实/潜在的安全漏洞后,请尽快通知Sonos安全团队。
- 真诚地努力避免侵犯隐私,保护用户体验,防止生产系统中断,并防止数据被破坏或篡改。违反任何法律的安全测试可能会导致刑事或法律调查。请参阅“法律问题与保护”部分。
- 在协调漏洞披露时限内,保持漏洞的隐私性,同时在公开披露前为Sonos留出合理的时间来解决问题。
漏洞覆盖范围:
本政策涵盖Sonos互连产品、平台和控制移动应用程序中的所有漏洞。包括固件、移动应用程序和云服务中的漏洞。
上文未明确列出的任何服务(例如任何互连服务)均不包含在此范围内,且未获得Sonos的测试授权。此外,在我们供应商的系统中发现的漏洞不包含在本政策的范围内,应根据供应商的披露政策(如果有)直接向供应商报告。如果您不确定某一系统是否在范围内,请发送电子邮件至security@sonos.com与我们联系。注:安全研究人员应查看任何第三方互连服务的外部漏洞披露政策,以确定这些服务的授权测试范围。
上文未明确列出的任何服务(例如任何互连服务)均不包含在此范围内,且未获得Sonos的测试授权。此外,在我们供应商的系统中发现的漏洞不包含在本政策的范围内,应根据供应商的披露政策(如果有)直接向供应商报告。如果您不确定某一系统是否在范围内,请发送电子邮件至security@sonos.com与我们联系。注:安全研究人员应查看任何第三方互连服务的外部漏洞披露政策,以确定这些服务的授权测试范围。
报告漏洞:
我们鼓励以负责任的方式向我们的安全漏洞响应团队披露漏洞。
报告可以匿名提交。
可以发送电子邮件至security@sonos.com报告漏洞(邮件主题为“Vulnerability Report”)。
我们非常鼓励安全研究人员使用加密通信渠道提交安全报告。可以在此处找到我们的PGP公钥。
报告应包含尽可能详尽的信息。以下信息将帮助我们尽快评估您提交的报告:
报告可以匿名提交。
可以发送电子邮件至security@sonos.com报告漏洞(邮件主题为“Vulnerability Report”)。
我们非常鼓励安全研究人员使用加密通信渠道提交安全报告。可以在此处找到我们的PGP公钥。
报告应包含尽可能详尽的信息。以下信息将帮助我们尽快评估您提交的报告:
- 问题描述及其潜在影响
- 受影响的产品和软件版本
- 再现问题的操作说明
- 概念验证(PoC)
- 建议酌情采取的缓解或补救措施
您可以期待我们采取的行动:
- 报告漏洞后,外部各方预计在3个工作日内收到报告确认。
- 在整个处理过程中,包括修复漏洞期间,我们将每2-3周向外部各方通报其报告的状态。
- 我们将为漏洞分配严重性级别,并根据其对客户数据和隐私造成的风险确定其优先级。
致谢:
虽然我们目前没有针对外部安全研究人员制定漏洞赏金计划,但我们会在安全研究人员表彰页面表彰和确认负责任的披露。
法律问题与保护:
我们致力于保护善意报告漏洞的人员。我们不会对根据本政策报告漏洞的个人采取法律行动。除非报告人员明确要求致谢,否则我们将对其身份保密,除非法律另有规定。
结论:
我们相信,负责任的披露对于保护客户的数据和隐私至关重要。本政策概述了我们对及时有效地解决漏洞的承诺。我们鼓励各方向我们的安全漏洞响应团队报告漏洞,并与我们合作保护我们的客户。