資訊揭露政策

負責任的資訊揭露政策

耶魯認為資訊揭露對於提高我們的產品和服務品質至關重要,耶魯重視安全研究的各式見解,歡迎協調揭露和合作。

透過我們負責任的揭露程序,耶魯將與安全研究人員和其他漏洞調查人員合作並提供一種機制,以合法和完整的方式私下報告,使我們的產品和服務更加安全。負責任的揭露確保安全基礎設施經過測試並證明是可靠的,這個過程允許我們與研究人員合作,在不斷變化的安全環境中快速識別和減輕漏洞。

耶魯負責任的資訊揭露政策如下:

  • 耶魯將以保護產品最終用戶的方式,向客戶揭露已知的漏洞及其修復方案,並對第一位揭露問題的用戶表達感謝。
  • 耶魯願意與各方安全研究人員交流和合作,以共同提高產品和服務的安全性和資訊分享揭露的協調性。
  • 耶魯沒有懸賞計劃,也沒有對研究人員的獎金,但耶魯會提供感謝,並在書面諮詢中公開承認安全研究人員的工作,他們私下為公司帶來有關漏洞的有效資訊;在開發和測試修復或補救後,耶魯將與安全研究人員協調資訊的公開揭露。
  • 安全研究人員被允許在自己的網站上發布耶魯建議的連結,以表彰他們最大限度地協助降低風險,幫助終端用戶保護自己。

我們呼籲安全研究人員與耶魯事先聯繫協調如何公開揭露資訊。若在沒有事先通知耶魯的情況下公開漏洞可能會傷害終端用戶或暴露敏感資訊,並讓個人用戶和企業組織置於惡意攻擊的危險之中。

為此,亞薩合萊強烈主張採取兩步流程: 首先,針對亞薩合萊的潛在漏洞私下揭露報告,一旦漏洞得到驗證和解決,耶魯就會協調公開揭露,其中包括承認安全研究人員的發現。

我們呼籲研究人員意識到調查、驗證和補救報告的漏洞行動,因複雜性和嚴重程度而異。我們將在盡可能的情況下溝通預期的時間表,變化和合作。此外,我們要求研究人員不要使用拒絕服務工具或損害耶魯用戶的基礎設施及用戶個人資訊來執行測試或評估。如果這種測試是必要的,請務必與我們聯繫,以便我們可以在合理的情況下,在非生產環境中提供可測試的產品。

與其他先進公司一樣,耶魯應用行業最佳實踐以協調漏洞披露,來保護生態系統的安全,確保客戶獲得高品質的資訊,透過推動公開揭露和合作來改進產品、協議、方法、標準和解決方案。

作為負責任的揭露計劃的一部分,耶魯始終尋求與各方安全研究人員建立合作關係並與安全研究人員共同肩負公開揭露漏洞的責任。耶魯邀請安全研究人員和其他漏洞調查人員加入我們的努力。

呼籲採取行動

如果您認為自己發現了漏洞,請參閱ASSA ABLOY安全資源中心“安全問題報告指南”頁面,了解如何私下向ASSA ABLOY安全反應團隊提交您的發現,或者您可以直接與我們聯繫 productsecurity@assaabloy.com.