协调漏洞披露政策

Sonos致力于通过及时有效的漏洞研究来保护客户的数据和隐私。我们建议安全研究人员在报告安全漏洞时遵循本协调披露政策。安全漏洞响应团队将负责接收和处理漏洞报告。本政策适用于发现或报告我们产品中漏洞的各方。本政策基于并参考ISO漏洞披露标准 ISO/IEC 29147中使用的方法。

要求：

根据本政策，“漏洞研究”是指安全研究人员进行的活动：

• 新发现真实/潜在的安全漏洞后，请尽快通知Sonos安全团队。
• 真诚地努力避免侵犯隐私，保护用户体验，防止生产系统中断，并防止数据被破坏或篡改。违反任何法律的安全测试可能会导致刑事或法律调查。请参阅“法律问题与保护”部分。
• 在协调漏洞披露时限内，保持漏洞的隐私性，同时在公开披露前为Sonos留出合理的时间来解决问题。

漏洞覆盖范围：

本政策涵盖Sonos互连产品、平台和控制移动应用程序中的所有漏洞。包括固件、移动应用程序和云服务中的漏洞。

上文未明确列出的任何服务（例如任何互连服务）均不包含在此范围内，且未获得Sonos的测试授权。此外，在我们供应商的系统中发现的漏洞不包含在本政策的范围内，应根据供应商的披露政策（如果有）直接向供应商报告。如果您不确定某一系统是否在范围内，请发送电子邮件至 security@sonos.com与我们联系。注：安全研究人员应查看任何第三方互连服务的外部漏洞披露政策，以确定这些服务的授权测试范围。

报告漏洞：

我们鼓励以负责任的方式向我们的安全漏洞响应团队披露漏洞。
报告可以匿名提交。
可以发送电子邮件至security@sonos.com报告漏洞（邮件主题为“Vulnerability Report”）。

我们非常鼓励安全研究人员使用加密通信渠道提交安全报告。可以在 此处找到我们的PGP公钥。

报告应包含尽可能详尽的信息。以下信息将帮助我们尽快评估您提交的报告：

• 问题描述及其潜在影响
• 受影响的产品和软件版本
• 再现问题的操作说明
• 概念验证（PoC）
• 建议酌情采取的缓解或补救措施

您可以期待我们采取的行动：

• 报告漏洞后，外部各方预计在3个工作日内收到报告确认。
• 在整个处理过程中，包括修复漏洞期间，我们将每2-3周向外部各方通报其报告的状态。
• 我们将为漏洞分配严重性级别，并根据其对客户数据和隐私造成的风险确定其优先级。

致谢：

虽然我们目前没有针对外部安全研究人员制定漏洞赏金计划，但我们会在 安全研究人员表彰页面表彰和确认负责任的披露。

法律问题与保护：

我们致力于保护善意报告漏洞的人员。我们不会对根据本政策报告漏洞的个人采取法律行动。除非报告人员明确要求致谢，否则我们将对其身份保密，除非法律另有规定。

结论：

我们相信，负责任的披露对于保护客户的数据和隐私至关重要。本政策概述了我们对及时有效地解决漏洞的承诺。我们鼓励各方向我们的安全漏洞响应团队报告漏洞，并与我们合作保护我们的客户。