玛斯特锁漏洞披露政策

玛斯特锁致力于保护客户的安全，努力为用户提供安全、稳定的产品和服务，保护客户数据的隐私和安全。

本漏洞披露政策适用于您正在考虑向我们（“组织”）报告的任何漏洞。

我们建议您在报告漏洞之前全面阅读此漏洞披露政策，并始终遵守该政策。

我们重视那些花时间和精力根据此政策报告安全漏洞的人。但是，我们不会为漏洞披露举动提供金钱奖励。

 

报告 

如果您认为自己发现了安全漏洞，请使用以下电子邮件地址productsecurity@mlock.com向我们提交报告。

在您的报告中，请尽可能提供以下详细信息：

• 可以观察到漏洞的应用程序、网站、IP或设备（如果适用）。
• 漏洞的简要说明，例如“XSS漏洞”。
• 潜在的根本原因。
• 重现步骤。这些步骤应该是良性的、非破坏性的、概念验证性质的。这有助于确保我们快速准确地对报告进行分类。

 

后续步骤 

在您提交报告后，我们将在5个工作日内确认收到您的报告，并努力在10个工作日内对您的报告进行分类。

我们还将努力让您了解我们的进展情况，或在适用时要求您提供更多信息。

我们会查看影响、严重性和漏洞利用的复杂性，从而评估修正措施的优先级。我们可能需要一些时间才能对漏洞报告完成分类或将其解决。欢迎您查询状态，但要避免查询频率高于每14天一次。

一旦漏洞得到修复，我们将通知您，你可能会被邀请确认该解决方案是否充分解决了该漏洞。

漏洞解决后，我们将向漏洞报告者提供状态更新并关闭该问题。

 

指导 

您不得：

• 违反任何适用的法律或法规。
• 访问不必要的、过多的或大量的数据。
• 修改本组织的系统或服务中的数据。
• 使用高强度侵入性或破坏性扫描工具查找漏洞。
• 尝试报告任何形式的拒绝服务攻击，例如，通过提交大量请求让服务不堪重负。
• 破坏组织的服务或系统。
• 提交下列性质的报告：详细说明不可利用的漏洞，或表明服务不完全符合“最佳实践”，例如缺少安全标头。
• 提交下列性质的报告：详细说明TLS配置中的弱点，例如“弱”密码套件支持，或存在TLS1.0支持。
• 对本组织的工作人员或基础设施进行社会工程、“网络钓鱼”或人身攻击。
• 要求获得经济补偿才披露任何漏洞。 
• 未经本组织明确许可，与任何第三方讨论或向其披露漏洞。

 

您必须

• 始终遵守数据保护规则，不得侵犯组织用户、员工、承包商、服务或系统的隐私。例如，您不得共享、重新分发或未能正确保护从系统或服务中检索到的数据。
• 一旦不再需要，或在漏洞解决后的1个月内（以先发生者为准，或在其他情况下遵守数据保护法的要求），请立即安全地删除您在研究期间检索到的所有数据。

 

合法性 

本政策旨在与常见的漏洞披露最佳实践保持一致。本政策不允许您以任何不符合法律的方式行事，也不允许您以任何可能导致本组织或合作伙伴组织违反任何法律义务的方式行事。