Відповідальне розкриття
Ми створюємо продукт безпеки, тож серйозно ставимося до повідомлень про власну безпеку. Якщо ви знайшли вразливість, ця сторінка пояснює, як нам про неї сказати — і що ми обіцяємо натомість.
Область
Входить в область — усе, що впливає на конфіденційність, цілісність чи доступність сервісу Smart WAF і систем, якими ми керуємо:
- наші edge-ноди та data plane, що фільтрує трафік;
- API control plane і клієнтський портал;
- цей вебсайт і його інфраструктура;
- проблеми ізоляції тенантів (будь-який шлях, що дозволяє одному клієнту дістатися даних іншого).
Не входить в область — повідомлення, на які ми не можемо вплинути або які описують очікувану поведінку:
- знахідки у сторонніх сервісах, якими ми не керуємо (повідомляйте про них їхнім власникам);
- об’ємне тестування відмови в обслуговуванні (DoS) проти нашого продакшн-edge — будь ласка, не робіть цього;
- соціальна інженерія щодо наших працівників, клієнтів чи партнерів;
- відсутні заголовки безпеки або поради з найкращих практик без доведеного впливу.
Безпечна гавань
Якщо ви добросовісно намагаєтеся дотримуватися цієї політики, ми не будемо ініціювати чи підтримувати судові дії проти вас за ваше дослідження. Добросовісність означає: ви залишаєтеся в межах області, не отримуєте доступ до чужих даних, не змінюєте й не видаляєте їх понад те, що потрібно для демонстрації проблеми, не погіршуєте наш сервіс для інших і даєте нам розумну можливість усунути проблему до її публічного розкриття.
Ми не сприймаємо чесне, обережне дослідження як атаку. Якщо ви не впевнені, чи щось входить в область, спершу запитайте нас.
Чого очікувати
Ми невелика команда, і будемо чесними щодо цього, а не обіцятимемо рівень сервісу, який не можемо гарантувати:
- ми прагнемо підтвердити отримання вашого повідомлення протягом п’яти робочих днів;
- ми інформуватимемо вас, поки досліджуємо й підтверджуємо проблему;
- ми повідомимо, коли вийде виправлення, і з радістю згадаємо вас, якщо ви цього хочете (або збережемо анонімність, якщо ні).
Наразі ми не маємо платної програми винагород за помилки. Визнання та щира подяка — це те, що ми можемо запропонувати сьогодні.
Контакт
Пишіть на security@waf.smartis.site із чітким описом, кроками для відтворення й будь-яким proof-of-concept, яким можете поділитися. Це та сама адреса, що опублікована в нашому машиночитаному /.well-known/security.txt.