JSDSRC漏洞披露计划

JSDMirror非常重视自身产品和服务的安全性,致力于打造安全可靠的产品理念和保护用户的隐私。同时,我们意识到安全研究者们在保护JSDMirror的产品与消费者中发挥了重要作用,故发布本JSDSRC(JDSMirror Security Center)漏洞披露计划。

漏洞披露计划可以为研究人员上报企业安全问题提供一个安全通道,并且包含一些用于分类和缓解这些安全漏洞的有效措施。我们对于遵守披露计划,未在解决漏洞的所需时间内提前将漏洞信息对外披露的研究人员表示衷心的感谢。

披露计划 - 政策

  • 在向JSDMirror提交安全漏洞报告时,我们要求在您向任意三方分享或公开报告中包含的任何信息之前,您应给我们合理的时间来调查并处理您报告中所提及的问题。
  • 您不会由于任何原因利用您发现的安全问题。包括以任何形式披露该安全问题、造成额外的风险、试图破坏公司的敏感数据或探查其他问题等。
  • 您不会违反任何其他适用的法律或法规。
  • 您不会违反任何隐私条例、隐私法规或对他人造成干扰,包括但不限于未经授权访问、破坏数据以及中断或降级我们的服务等。
  • 您已阅读、同意并遵守JSDMirror公司的安全与隐私政策。
  • 您已阅读、同意并遵守我们的披露责任政策,条款和条件。

披露计划 - 条款与条件

  • 如果您在测试期间无意或有意访问到JSDMirror或JSDMirror关联品牌、企业的独家客户、员工或业务相关信息,则不得以任何方式使用、披露、存储或记录该信息。任何对此类数据的访问必须在相关漏洞报告中体现。
  • 在向JSDMirror提交潜在的安全漏洞信息时,即表示您授予JSDMirror全球、永久的、免版税、非排他性的许可,允许使用您提交的报告来解决JSDMirror或其关联方产品和服务中的安全漏洞。
  • 在向JSDMirror提交安全漏洞报告时,请确认在此之前没有向JSDMirror以外的任何人披露过相关漏洞信息。
  • 未经JSDMirror事先书面同意,对外的任何披露都将违反本计划的条款和条件。

响应时间承诺

  • 我们会在24小时内首次响应您的漏洞报告
  • 我们会在48小时内完成初步评估
  • 我们会在确认漏洞后尽快进行修复
  • 漏洞修复完成后,我们会通知您并表示感谢

说明

由于JSDMirror为公益性质的项目,我们暂时无法提供现金奖励。但我们会为每一位提交有效漏洞的白帽子提供荣誉证书,并在我们的白帽子排行榜上展示,建立您的安全专家声誉。

安全测试范围

请在以下范围内进行安全测试:

  • jsdmirror.com 主域名及其所有子域名
  • JSDMirror Web 应用程序
  • API 接口安全
  • 用户认证与授权机制
  • 数据传输加密
  • 业务逻辑漏洞

禁止行为

在测试过程中,请遵守以下规则:

  • 第三方服务或域名
  • 社会工程学攻击
  • 物理安全测试
  • DDoS 攻击或暴力破解
  • 已知公开漏洞(CVE)
  • 可能影响服务稳定性的测试
  • 未经授权访问、删除或修改数据
  • 测试期间发现的任何用户数据,不得泄露、存储或传播

重要提示

违反上述规则的行为将导致您被取消参与JSDSRC计划的资格,并可能承担法律责任。请务必在合法合规的范围内进行安全测试。