Công bố lỗ hổng bảo mật

Tổng quan

GibbsCAM cam kết giải quyết mọi lỗ hổng bảo mật trong các sản phẩm của chúng tôi. Chúng tôi hoan nghênh sự hợp tác với các nhà nghiên cứu phát hiện ra những vấn đề này và sẽ nỗ lực giải quyết chúng kịp thời. Chúng tôi cũng rất coi trọng việc ghi nhận và đánh giá cao những đóng góp của các nhà nghiên cứu hợp tác với chúng tôi để nâng cao tính bảo mật của GibbsCAM.

Lĩnh vực

gibbscam.com
online.gibbscam.com

Mục tiêu phản hồi

GibbsCAM sẽ nỗ lực đáp ứng các SLA sau đây cho những người tham gia chương trình của chúng tôi:

Loại phản hồi	SLA tính theo ngày làm việc
Phản hồi đầu tiên	2 ngày
Thời gian phân loại	5 ngày
Thời gian giải quyết	Tùy thuộc vào mức độ nghiêm trọng và độ phức tạp

Chúng tôi sẽ cố gắng cập nhật cho quý khách về tiến độ trong suốt quá trình.

Quy định của chương trình

Nhân viên hoặc người thân của nhân viên không được tham gia.
Vui lòng cung cấp báo cáo chi tiết kèm theo các bước có thể tái hiện hoặc một bản Proof of Concept hoạt động
Gửi một lỗ hổng bảo mật cho mỗi báo cáo, trừ khi bạn cần kết hợp các lỗ hổng để đánh giá tác động.
Không được công khai tiết lộ vấn đề bảo mật trước khi nó được khắc phục.

Mức độ ưu tiên

Chúng tôi tập trung chủ yếu vào các lỗ hổng nghiêm trọng và mức độ cao đe dọa đến tính bảo mật, tính sẵn sàng và tính toàn vẹn của ứng dụng, đặc biệt chú trọng đến 10 rủi ro bảo mật ứng dụng máy tính để bàn hàng đầu của OWASP. Chúng tôi ưu tiên các loại lỗ hổng sau:

Tiết lộ dữ liệu nhạy cảm
Sử dụng mã hóa không đúng cách
Sử dụng các thành phần có lỗ hổng đã biết
Ghi nhật ký và giám sát không đầy đủ
Chất lượng mã kém
Thực thi mã từ xa
Vượt qua xác thực
Tải trước DLL
Vấn đề về tuần tự hóa
Tràn bộ đệm ngăn xếp/heap và ghi đè bộ nhớ
Sử dụng sau khi giải phóng
Xử lý thực thể bên ngoài XML trong các hành động quan trọng

Phạm vi

Trong phạm vi

Hiện tại, chúng tôi chỉ đang thu thập phản hồi về lỗ hổng bảo mật cho các phiên bản được hỗ trợ của các ứng dụng và dịch vụ sau:

Các sản phẩm GibbsCAM

Ngoài phạm vi

Các báo cáo liên quan đến CVE hoặc lỗ hổng đã biết trong các ứng dụng máy tính để bàn và các phiên bản không được hỗ trợ sẽ được phân loại là thông tin tham khảo, trừ khi chúng được đánh giá là nghiêm trọng hoặc có mức độ nghiêm trọng cao. Các báo cáo nghiêm trọng và có mức độ nghiêm trọng cao sẽ được đánh giá trên cơ sở từng trường hợp cụ thể.
Báo cáo từ các công cụ tự động hoặc quá trình quét.
Các thông tin lộ ra do thông báo lỗi.
Các trang web của bên thứ ba (các trang web đề cập đến thương hiệu GibbsCAM nhưng không thuộc sở hữu của công ty, hàng hóa mang thương hiệu, v.v.).

Lỗ hổng nằm ngoài phạm vi

Khi báo cáo lỗ hổng, vui lòng xem xét (1) kịch bản tấn công/khả năng khai thác và (2) tác động bảo mật của lỗi. Các vấn đề sau đây được coi là nằm ngoài phạm vi:

Các cuộc tấn công yêu cầu MITM hoặc truy cập vật lý vào thiết bị của người dùng.
Các thư viện dễ bị tấn công đã biết trước đó mà không có Bằng chứng Khả thi (Proof of Concept) hoạt động.
Bất kỳ hoạt động nào có thể dẫn đến sự gián đoạn dịch vụ của chúng tôi (DoS).

Loại trừ

Trong quá trình nghiên cứu, vui lòng tránh:

Từ chối dịch vụ (bao gồm DoS, DDoS).
Gửi thư rác.
Kỹ thuật xã hội (bao gồm lừa đảo) đối với nhân viên, nhà thầu hoặc khách hàng của GibbsCAM.
Bất kỳ hành vi xâm phạm vật lý nào đối với tài sản hoặc trung tâm dữ liệu của GibbsCAM.

Chính sách về điều kiện tham gia và công bố

Hãy thông báo cho chúng tôi ngay khi phát hiện ra lỗ hổng tiềm ẩn, và chúng tôi sẽ nỗ lực hết sức để giải quyết vấn đề nhanh chóng.
Hãy dành cho chúng tôi một khoảng thời gian hợp lý để giải quyết vấn đề trước khi công bố cho công chúng hoặc bên thứ ba.
Vui lòng cung cấp báo cáo chi tiết kèm theo các bước có thể tái hiện.
Gửi một lỗ hổng bảo mật cho mỗi báo cáo, trừ khi bạn cần kết hợp các lỗ hổng để mô tả tác động.

Khu vực an toàn

Quy tắc Ứng xử của HackerOne

Các hoạt động tuân thủ chính sách này và Quy tắc Ứng xử của HackerOne sẽ được coi là hợp pháp, và chúng tôi sẽ không khởi kiện bạn. Trong trường hợp bên thứ ba khởi kiện liên quan đến các hành động thực hiện theo chính sách này, chúng tôi sẽ tích cực làm việc để chứng minh rằng các hoạt động của bạn tuân thủ quy định. Chúng tôi đánh giá cao nỗ lực của bạn trong việc giúp bảo vệ GibbsCAM và người dùng của chúng tôi.

Mẫu tiết lộ lỗ hổng

Comments

Tên* (*bắt buộc)

Họ*

Email*

Tên lỗ hổng bảo mật*

Mô tả*

Provide a detailed description of the vulnerability.

Tác động*

Describe the potential impact of the vulnerability.

Các bước để tái hiện*

Provide step-by-step instructions on how to reproduce the vulnerability.

Các biện pháp giảm thiểu tiềm năng

Any suggested fixes or mitigations for the vulnerability.

Sản phẩm/Bộ phận bị ảnh hưởng

Please provide the product name, version, and component that is affected.

Bằng cách điền vào biểu mẫu này, tôi đồng ý với các điều khoản và chính sách bảo mật.

Xin vui lòng gửi các thông báo tiếp theo từ GibbsCAM. Tôi hiểu rằng tôi có thể hủy đăng ký bất cứ lúc nào.

Điều khoản và Điều kiện | Chính sách bảo mật