DesignsAI

安全披露政策

PIXLR GROUP 安全漏洞披露政策

我们非常重视系统安全,并珍视用户、贡献者、客户和顾客的安全。安全漏洞的披露有助于我们确保用户的安全和隐私。本政策旨在为安全研究人员提供明确的漏洞发现活动指南,并传达我们对提交已发现漏洞的偏好方式。

指南

根据本政策,"研究"是指您进行以下活动:

  • 在发现真实或潜在的安全问题后尽快通知我们。
  • 在安全测试期间尽一切努力避免侵犯隐私、降低用户体验、干扰生产系统和破坏数据。
  • 仅在确认漏洞存在所必需的范围内使用漏洞利用。不得使用漏洞利用来泄露或窃取数据、建立持久的命令行访问,或使用漏洞利用转向其他系统。
  • 不提交大量低质量报告和/或 CVSS 评分低于 6 的报告。
  • 使用指定的沟通渠道向我们报告漏洞信息;以及
  • 在您与 PIXLR GROUP 之间对您发现的任何漏洞信息保密,直到我们有 [90] 天时间解决该问题。

保密性

您通过安全漏洞发现或收集的关于 PIXLR GROUP 或任何 PIXLR GROUP 用户的任何信息必须保密,并且仅用于与我们相关的用途。一旦您确定存在漏洞或遇到任何敏感数据(包括个人身份信息、财务信息或任何一方的专有信息或商业秘密),您必须停止测试,立即通知我们,并且不得向其他任何人披露此数据。

严格禁止访问其他用户的私人信息以及执行可能对 PIXLR GROUP 用户产生负面影响的行为。未经 PIXLR GROUP 事先书面同意,您不得使用、披露或分发任何此类机密信息,包括但不限于有关您提交的任何信息以及您在研究 PIXLR GROUP 网站时获得的信息。

测试方法

为了我们用户和员工的安全,我们希望您避免:

  • 垃圾邮件。
  • 针对 PIXLR GROUP 员工、承包商、贡献者或客户的社会工程学(包括网络钓鱼和语音钓鱼)。
  • 针对 PIXLR GROUP 财产或数据中心的任何物理尝试。
  • 加密货币挖矿。
  • 访问或尝试访问不属于您的数据或信息。
  • 破坏或损坏,或尝试破坏或损坏不属于您的数据或信息。
  • 造成或尝试造成拒绝服务(DoS/DDoS)状况。

如果您遵循这些指南并立即向我们报告,我们承诺:

我们不会对遵守本政策、试图在我们系统中发现漏洞的安全研究人员采取法律行动。

报告漏洞

我们相信所有技术都包含错误,公众在识别这些错误方面发挥着至关重要的作用。如果您认为在我们的系统或平台中发现了安全漏洞,请立即通过电子邮件发送至 Sylvester@designs.ai 向我们报告。

请在报告中包含以下详细信息:

  • 漏洞位置和潜在影响的描述;
  • 重现漏洞所需步骤的详细描述(POC 脚本、屏幕截图和压缩的屏幕录像都对我们有帮助);以及
  • 您的姓名/用户名
  • 使用英语。

资格

我们接受基于 CVSS 4 严重程度不低于 6 的报告。最终严重程度可能会根据报告的漏洞对我们域名的影响进行调整。

有关 CVSS 4 评分的更多信息:https://www.first.org/cvss/calculator/4.0

范围内

*.designs.ai

范围外

在报告漏洞时,您应考虑攻击场景/可利用性以及错误的安全影响。以下问题被视为超出本计划的范围,我们不接受以下类型的攻击:

  • 拒绝服务攻击
  • 垃圾邮件、社会工程学或电子邮件钓鱼技术(例如网络钓鱼、语音钓鱼、短信钓鱼)
  • 电子邮件欺骗
  • 客户端的任何安全漏洞(例如浏览器、插件)
  • 软件版本披露
  • 反射文件下载
  • 任何物理访问问题
  • 公开可访问的页面
  • 任何不会导致直接漏洞的弱点或信息披露
  • 电子邮件或账户枚举
  • CSV 命令执行和 CSP 弱点
  • 第三方应用程序或网站中的任何漏洞通常不在我们计划的范围内。

条款变更

PIXLR GROUP 保留随时修改或取消该计划及其政策的权利,无需事先通知。

因此,PIXLR GROUP 可以随时通过在 PIXLR GROUP 网站上发布修订版本来修改这些条款和/或其政策。如果您在条款变更后继续参与该计划,即表示您接受修改后的条款。

最后更新:2024 年 6 月 13 日