سياسة Foxit الخاصة بـ الإفصاح عن الثغرات الأمنية

معلومات التواصل

إذا كنت تعتقد أنك وجدت ثغرة أمنية في منتج أو خدمة Foxit، فيرجى الاتصال بنا:

• البريد الإلكتروني: [email protected]
• PGP Key

نُشجّع على استخدام التواصل المشفّر للبلاغات الحساسة.

النطاق

نقبل بلاغات الثغرات الخاصة بـ:

• جميع المنتجات والخدمات التي طورتها Foxit والمدعومة والموزعة حاليًا.
• خدمات الويب والأنظمة الأساسية التي يديرها Foxit (على سبيل المثال، foxit.com).

نحن لا نقبل بلاغات الثغرات الخاصة بـ:

• برامج أو مكونات إضافية تابعة لجهات خارجية لم يتم تطويرها بواسطة Foxit.
• الثغرات الأمنية في خدمات أو مكتبات الجهات الخارجية التي يستخدمها الآخرون بشكل مستقل.
• المنتجات التي انتهى عمرها الافتراضي ولم تعد مدعومة.

قد تقوم Foxit، بصفتها CVE Numbering Authority (CNA)، بتخصيص CVE IDs للثغرات التي تؤثر في المنتجات والخدمات ضمن هذا النطاق. وإذا تم اكتشاف ثغرة في مكوّن تابع لجهة خارجية ومضمّن في أحد منتجات Foxit، فستنسق Foxit مع المورّد الأساسي للتعامل معها ومعالجتها بشكل مسؤول، لكنها لا تتحكم في تخصيص CVE الخاص بهم أو توقيت الإفصاح لديهم.

ما يجب تضمينه في البلاغ

لمساعدتنا على التعامل مع البلاغات بكفاءة، يرجى تضمين ما يلي:

• منتج (منتجات) أو خدمة (خدمات) Foxit المتأثرة.
• وصف المشكلة الأمنية المشتبه بها وتأثيرها.
• إثبات المفهوم (PoC) أو الأدلة الداعمة، إذا كانت متوفرة.
• أي جدول زمني مخطط للإفصاح، إن أمكن.

آلية الاستجابة

عند استلام بلاغ عن ثغرة، سنقوم بما يلي:

• تأكيد الاستلام خلال 5 أيام عمل.
• التحقق من الثغرة وتقييم أثرها.
• إبقاء المُبلِّغ على اطلاع بالتقدم وخطط المعالجة.

الجدول الزمني للإفصاح

نحن نتبع مبدأ الكشف المنسق عن الثغرات الأمنية:

• لن يتم الإفصاح علنًا عن الثغرات المؤكدة في Foxit إلا بعد إصدار الإصلاح المقابل للعملاء.
• يتم الاحتفاظ بتتبع داخلي لجميع الثغرات المؤكدة لإدارة المعالجة بكفاءة.
• عندما يكون ذلك مناسبًا، قد نقوم أيضًا بمشاركة المعلومات حول نقاط الضعف المؤكدة مع مجتمعات إدارة الثغرات ذات الصلة لضمان تسجيل المشكلة وإبلاغها بشكل صحيح.
• بالنسبة إلى الثغرات الأمنية التي تم تحديدها في برامج الجهات الخارجية المستخدمة ضمن منتجات Foxit، فسنقوم بإخطار البائع المتأثر ودعم المعالجة المنسقة، ولكننا لا نتحكم في توقيت الكشف عنها.

التقدير ونَسب الفضل

إذا رغبت، فسنُقِر بمساهمتك في تنبيهاتنا الأمنية. وبدلًا من ذلك، فإننا نحترم طلبات عدم الكشف عن الهوية.

قد نمنح إشادة على موقعنا الإلكتروني، بحسب طبيعة الثغرة.

ملاحظة: يشير التقدير إلى الاعتراف بمساهمتك، ويشير الإسناد إلى تسمية الباحث علنًا.

الملاذ الآمن

لن تتخذ Foxit إجراءات قانونية ضد الأفراد الذين:

• يُجرون أبحاثًا أمنية بحسن نية.
• يلتزمون بمبادئ الإفصاح المسؤول.
• تجنب الوصول غير المصرح به إلى البيانات أو انقطاع الخدمة أو انتهاكات الخصوصية.

إرشادات الإفصاح المسؤول

لمساعدتنا على معالجة الثغرات بفاعلية وبشكل مسؤول، نرجو من الباحثين ما يلي:

• امنح Foxit قدرًا معقولاً من الوقت للتحقيق في المشكلة التي تم الإبلاغ عنها وإصلاحها قبل مشاركتها علنًا أو مع طرف ثالث. ونحن نسعى جاهدين لحل القضايا الحرجة في أسرع وقت ممكن.
• يرجى الحرص على تجنب أي إجراءات قد تنتهك الخصوصية، أو تضر بالبيانات، أو تتسبب في تعطيل خدمات Foxit أو خفض أدائها.

الأنشطة المحظورة

يُمنع منعًا باتًا القيام بالإجراءات التالية أثناء البحث الأمني:

• أداء الأنشطة التي قد تؤثر سلبًا على Foxit أو مستخدميها (على سبيل المثال، البريد العشوائي، والقوة الغاشمة، ورفض الخدمة).
• الوصول أو محاولة الوصول أو تدمير أو إتلاف أو محاولة تدمير أو إتلاف البيانات أو المعلومات التي لا تخصك.
• القيام بأي هجوم مادي أو إلكتروني على Foxit الموظفين أو الممتلكات أو مراكز البيانات.
• الانخراط في الهندسة الاجتماعية ضد أي Foxit مكتب خدمة أو موظف أو مقاول.
• انتهاك أي قوانين أو خرق أي اتفاقيات لاكتشاف نقاط الضعف.

النشر

سيتم نشر نقاط الضعف المؤكدة والمعالجة على:

• صفحتنا الاستشارية الأمنية: https://www.foxit.com/ar/support/security-bulletins.html.
• يتم النشر على CVE List ومنصات إدارة الثغرات ذات الصلة في القطاع عند تخصيص معرف CVE.

ملاحظة: قد تتم معالجة بعض المشكلات، مثل التكوينات الخاطئة للموقع أو النتائج التي تم تحديدها فقط بواسطة أدوات الفحص الآلي، داخليًا ولكن لن يتم نشرها كنصائح منفصلة.