Visi noteikumi un līgumi
Ievainojamību atklāšanas politika
Šis dokuments ir mašīntulkots ērtības labad. Pretrunu gadījumā noteicošā ir angļu valodas versija.
[Angļu versija]
Soldera uztur platformu, kas savienojas ar enerģijas izcelsmes sertifikātu reģistriem, tāpēc mūsu sistēmu un klientu datu drošība mums ir ļoti svarīga. Mēs novērtējam drošības pētnieku kopienu un labticīgi iesniegtus ziņojumus par ievainojamībām mūsu uzturētajās sistēmās.
Šī ir tikai ievainojamību atklāšanas programma. Mēs nepiedāvājam finansiālu atlīdzību, bet apņemamies atbildēt savlaicīgi, izturēties pret pētniekiem ar cieņu un - ja vēlaties - sniegt diskrētu pateicību par jūsu ieguldījumu.
-
KĀ ZIŅOT
-
Rakstiet uz
security@soldera.org
, norādot:
- tematu ar tekstu "Vulnerability Disclosure"
- ievainojamības aprakstu un tās atrašanās vietu
- reproducēšanas soļus vai īsu koncepcijas pierādījumu (strādājošs PoC ir noderīgāks nekā garš video)
- jūsu vērtējumu par ietekmi
- Lūdzu, rakstiet kodolīgi. Ja ziņojums ietver sensitīvus datus, šifrējiet to ar mūsu publisko PGP atslēgu: https://www.soldera.org/.well-known/pgp-key.txt , vai lūdziet mums šifrētu kanālu.
-
Rakstiet uz
security@soldera.org
, norādot:
-
KAS ATBILST PROGRAMMAI
- Projektēšanas vai ieviešanas problēmas, kas būtiski ietekmē klientu vai reģistra datu konfidencialitāti vai integritāti - piemēram, XSS, CSRF, autentifikācijas/autorizācijas trūkumi (tostarp piekļuve cita klienta datiem), injekcija vai servera puses koda izpilde (SQLi, komandu injekcija, XXE) un loģikas kļūdas, kas apiet būtiskas drošības kontroles.
- Parasti mēs nerīkojamies saistībā ar: trūkstošām drošības galvenēm/SPF/DKIM/DMARC vai sīkfailu karodziņiem bez demonstrēta ekspluatācijas piemēra, banera/versijas atklāšanu, clickjacking nesensitīvās lapās, lietotāju uzskaiti bez likmes ierobežošanas ietekmes, neapstrādātu automatizētu skeneru izvadi bez analīzes vai problēmām trešo pušu platformās, kuras mēs nekontrolējam (ziņojiet par tām attiecīgajam piegādātājam).
-
KO MĒS LŪDZAM NO JUMS
-
Soldera un mūsu klientu drošības labad, lūdzu, ievērojiet atbildīgas atklāšanas
praksi:
- Testējiet tikai savus kontus. Nekad nepiekļūstiet, nemainiet un nedzēsiet datus, kas pieder kādam citam. Ja nejauši sastopaties ar cita lietotāja datiem, apstājieties, informējiet mūs un nesaglabājiet kopijas.
- Nepazeminiet un netraucējiet mūsu pakalpojumu darbību - neveiciet pakalpojumatteices testus, liela apjoma automatizētu skenēšanu, surogātpastu, sociālo inženieriju vai fiziskus uzbrukumus.
- Netestējiet sistēmas, kas mums nepieder. Mūsu platforma savienojas ar nacionāliem un starptautiskiem EAC reģistriem un piegādātājiem (hostings, analītika, mārketings); mēs nevaram atļaut šo sistēmu testēšanu - šādas problēmas nosūtiet attiecīgajam operatoram.
- Dodiet mums saprātīgu iespēju novērst problēmu pirms tās publiskas atklāšanas un nekopīgojiet to ar trešajām pusēm vai brokeriem, izņemot gadījumus, kad tas nepieciešams novēršanai.
- Ja pētniecības laikā ievērosiet šo politiku un rīkosieties labticīgi, mēs uzskatīsim jūsu piekļuvi par autorizētu un neveiksim pret jums tiesiskas darbības saistībā ar to.
-
Soldera un mūsu klientu drošības labad, lūdzu, ievērojiet atbildīgas atklāšanas
praksi:
-
KO VARAT SAGAIDĪT NO MUMS
-
Ja resursi atļauj, mēs cenšamies:
- Apstiprināt jūsu ziņojuma saņemšanu 7 darba dienu laikā.
- Sniegt sākotnējo novērtējumu 14 darba dienu laikā.
- Novērst derīgas problēmas saprātīgā termiņā, sniedzot atjauninājumus, ja novēršana aizņems ilgāku laiku.
- Norādīt jūsu vārdu, ja to vēlaties (diskrēta pateicības lapa un, pēc izvēles, atzinības saraksta ieraksts ) - vai saglabāt jūsu anonimitāti, ja dodat priekšroku tam.
- Šī programma ir pēc mūsu ieskatiem, un mēs jebkurā laikā varam to mainīt vai izbeigt.
-
Ja resursi atļauj, mēs cenšamies:
Pēdējoreiz atjaunināts: 2026. gada 15. jūlijā. Jautājumi par šo politiku: security@soldera.org