Politique Foxit de divulgation des vulnérabilités
Foxit prend la sécurité très au sérieux et vise à fournir les solutions et services les plus sécurisés du secteur pour assurer la sécurité des données et des systèmes des clients. Chez Foxit, nous étudions tous les rapports de vulnérabilité reçus et mettons en œuvre le meilleur plan d'action afin de protéger nos clients. Foxit estime que travailler avec des chercheurs en sécurité qualifiés peut identifier les faiblesses de n'importe quelle technologie.
Informations de contact
Si vous pensez avoir trouvé une faille de sécurité dans un produit ou un service Foxit, veuillez nous contacter :
- E-mail: [email protected]
Nous encourageons la communication cryptée pour les rapports sensibles.
Portée
Nous acceptons les rapports de vulnérabilité pour :
- Tous les produits et services développés par Foxit sont actuellement pris en charge et distribués.
- Services et plateformes Web exploités par Foxit (par exemple, foxit.com).
Nous n'acceptons pas les rapports de vulnérabilité pour :
- Logiciels ou plugins tiers non développés par Foxit.
- Vulnérabilités dans des services ou bibliothèques tiers utilisés indépendamment par d’autres.
- Les produits en fin de vie ne sont plus pris en charge.
Foxit, en tant que CVE Numbering Authority (CNA), peut attribuer CVE IDs pour les vulnérabilités affectant les produits et services entrant dans ce périmètre. Si une vulnérabilité est découverte dans un composant tiers intégré dans un produit Foxit, Foxit se coordonnera avec le fournisseur en amont pour un traitement et une correction responsables, mais ne contrôle pas son CVE affectation ou le calendrier de divulgation.
Quoi à inclure dans un rapport
Pour nous aider à traiter les rapports efficacement, veuillez inclure :
- Le(s) produit(s) ou service(s) concerné(s).
- Description du problème de sécurité suspecté et de son impact.
- Preuve de concept (PoC) ou preuves à l’appui, si disponibles.
- Tout calendrier de divulgation prévu, le cas échéant.
Réponse Processus
Dès réception d’un rapport de vulnérabilité, nous :
- Accusez réception dans les 5 jours ouvrés.
- Valider et évaluer l’impact de la vulnérabilité.
- Tenez le journaliste informé des progrès et des plans d’atténuation.
Divulgation Chronologie
Nous suivons le principe de divulgation coordonnée des vulnérabilités :
- Les vulnérabilités Foxit confirmées ne seront divulguées publiquement qu'après que le correctif correspondant aura été publié auprès des clients.
- Un suivi interne est maintenu pour toutes les vulnérabilités confirmées afin de gérer efficacement les mesures correctives.
- Le cas échéant, nous pouvons également partager des informations sur les vulnérabilités confirmées avec les communautés de gestion des vulnérabilités concernées pour garantir que le problème est correctement enregistré et communiqué.
- Pour les vulnérabilités identifiées dans les logiciels tiers utilisés dans les produits Foxit, nous informerons le fournisseur concerné et prendrons en charge une correction coordonnée, mais nous ne contrôlons pas le moment de leur divulgation.
Reconnaissance et attribution
Si vous le souhaitez, nous reconnaîtrons votre contribution dans nos avis de sécurité. Alternativement, nous respectons les demandes d’anonymat.
Nous pouvons offrir du crédit sur notre site Web, en fonction de la nature de la vulnérabilité.
Note: La reconnaissance fait référence à la reconnaissance de votre contribution, et l'attribution fait référence au nom public du chercheur.
Port sûr
Foxit n'engagera pas de poursuites judiciaires contre les individus qui :
- Mener des recherches sur la sécurité de bonne foi.
- Suivez les principes de divulgation responsable.
- Évitez les accès non autorisés aux données, les interruptions de service ou les violations de la vie privée.
Lignes directrices en matière de divulgation responsable
Pour nous aider à remédier aux vulnérabilités de manière efficace et responsable, nous demandons aux chercheurs de :
- Accordez à Foxit un délai raisonnable pour enquêter et résoudre le problème signalé avant de le partager publiquement ou avec un tiers. Nous nous efforçons de résoudre les problèmes critiques le plus rapidement possible.
- Veillez à éviter les actions qui pourraient violer la confidentialité, endommager les données ou interrompre/dégrader les services de Foxit.
Activités interdites
Les actions suivantes sont strictement interdites lors de recherches de sécurité :
- Réaliser des activités susceptibles d'avoir un impact négatif sur Foxit ou ses utilisateurs (par exemple, spam, force brute, déni de service).
- Accéder, ou tenter d'accéder, détruire ou corrompre, tenter de détruire ou de corrompre, des données ou informations ne vous appartenant pas.
- Mener toute attaque physique ou électronique contre le personnel, les biens ou les centres de données de Foxit.
- S'engager dans l'ingénierie sociale contre n'importe quel Foxit service desk, employé ou entrepreneur.
- Violer des lois ou rompre des accords pour découvrir des vulnérabilités.
Publication
Les vulnérabilités confirmées et corrigées seront publiées sur :
- Notre page d'avis de sécurité : https://www.foxit.com/fr/support/security-bulletins.html.
- Le CVE List et les plateformes de gestion des vulnérabilités pertinentes du secteur lorsqu'un identifiant CVE est attribué.
Note: Certains problèmes, tels que les mauvaises configurations du site ou les résultats identifiés uniquement par des outils d'analyse automatisés, peuvent être résolus en interne mais ne seront pas publiés sous forme d'avis distincts.