Politica Foxit di divulgazione delle vulnerabilità
Foxit prende molto sul serio la sicurezza e mira a fornire le soluzioni e i servizi più sicuri del settore per mantenere al sicuro i dati e i sistemi dei clienti. Noi di Foxit investighiamo su tutte le segnalazioni di vulnerabilità ricevute e implementiamo la migliore linea d'azione per proteggere i nostri clienti. Foxit ritiene che lavorare con ricercatori esperti in materia di sicurezza possa identificare i punti deboli di qualsiasi tecnologia.
Informazioni di contatto
Se ritieni di aver trovato una vulnerabilità di sicurezza in un prodotto o servizio Foxit, contattaci:
- E-mail: [email protected]
Incoraggiamo la comunicazione crittografata per i rapporti sensibili.
Ambito
Accettiamo segnalazioni di vulnerabilità per:
- Tutti i prodotti e i servizi sviluppati da Foxit attualmente supportati e distribuiti.
- Servizi Web e piattaforme gestiti da Foxit (ad es. foxit.com).
Non accettiamo segnalazioni di vulnerabilità per:
- Software o plug-in di terze parti non sviluppati da Foxit.
- Vulnerabilità nei servizi o nelle librerie di terze parti utilizzate in modo indipendente da altri.
- I prodotti a fine vita non sono più supportati.
Foxit, come a CVE Numbering Authority (CNA), può assegnare CVE IDs per le vulnerabilità che interessano prodotti e servizi in questo ambito. Se viene scoperta una vulnerabilità in un componente di terze parti incorporato in un prodotto Foxit, Foxit si coordinerà con il fornitore a monte per la gestione responsabile e la riparazione, ma non controlla la loro CVE assegnazione o tempistica di divulgazione.
Che cosa da includere in un report
Per aiutarci a gestire i report in modo efficiente, includi:
- I Foxit prodotti o servizi interessati.
- Descrizione del sospetto problema di sicurezza e del suo impatto.
- Proof of concept (PoC) o prove a sostegno, se disponibili.
- Qualsiasi programma di divulgazione pianificato, se applicabile.
Risposta Processo
Dopo aver ricevuto una segnalazione di vulnerabilità:
- Conferma ricevuta entro 5 giorni lavorativi.
- Convalidare e valutare l'impatto della vulnerabilità.
- Mantenere il segnalatore informato sui progressi e sui piani di mitigazione.
Divulgazione Cronologia
Seguiamo il principio della divulgazione coordinata delle vulnerabilità:
- Le vulnerabilità Foxit confermate verranno divulgate pubblicamente solo dopo che la correzione corrispondente sarà stata rilasciata ai clienti.
- Viene mantenuto il monitoraggio interno di tutte le vulnerabilità confermate per gestire la riparazione in modo efficiente.
- Ove appropriato, potremmo anche condividere informazioni sulle vulnerabilità confermate con le comunità di gestione delle vulnerabilità interessate per garantire che il problema sia adeguatamente registrato e comunicato.
- Per le vulnerabilità identificate nel software di terze parti utilizzato nei prodotti Foxit, avviseremo il fornitore interessato e supporteremo soluzioni coordinate, ma non controlliamo i tempi della loro divulgazione.
Riconoscimento e attribuzione
Se lo desideri, riconosceremo il tuo contributo nei nostri avvisi sulla sicurezza. In alternativa, rispettiamo le richieste di anonimato.
Potremmo offrire credito sul nostro sito Web, a seconda della natura della vulnerabilità.
Nota: Il riconoscimento si riferisce al riconoscimento del proprio contributo e l'attribuzione si riferisce al nome pubblico del ricercatore.
Porto sicuro
Foxit non intraprenderà azioni legali contro individui che:
- Condurre ricerche sulla sicurezza in buona fede.
- Seguire i principi della divulgazione responsabile.
- Evita l'accesso non autorizzato ai dati, l'interruzione del servizio o le violazioni della privacy.
Linee guida per la divulgazione responsabile
Per aiutarci ad affrontare le vulnerabilità in modo efficace e responsabile, chiediamo gentilmente ai ricercatori di:
- Concedere a Foxit un ragionevole periodo di tempo per indagare e risolvere il problema segnalato prima di condividerlo pubblicamente o con terze parti. Ci impegniamo a risolvere i problemi critici il più rapidamente possibile.
- Fare attenzione a evitare azioni che potrebbero violare la privacy, danneggiare i dati o interrompere/degradare i servizi di Foxit.
Attività vietate
Le seguenti azioni sono severamente vietate durante le ricerche sulla sicurezza:
- Svolgere attività che potrebbero avere un impatto negativo su Foxit o sui suoi utenti (ad esempio, spam, forza bruta, negazione del servizio).
- Accedere, o tentare di accedere, distruggere o corrompere, tentare di distruggere o corrompere, dati o informazioni che non ti appartengono.
- Condurre qualsiasi attacco fisico o elettronico contro Foxit personale, proprietà o data center.
- Impegnarsi in attività di ingegneria sociale contro qualsiasi Foxit service desk, dipendente o appaltatore.
- Violare qualsiasi legge o infrangere eventuali accordi per scoprire vulnerabilità.
Pubblicazione
Le vulnerabilità confermate e risolte saranno pubblicate su:
- La nostra pagina di consulenza sulla sicurezza: https://www.foxit.com/it/support/security-bulletins.html.
- IL CVE List e piattaforme di gestione delle vulnerabilità del settore pertinenti quando viene assegnato un ID CVE.
Nota: Alcuni problemi, come configurazioni errate del sito o risultati identificati esclusivamente da strumenti di scansione automatizzata, potrebbero essere risolti internamente ma non verranno pubblicati come avvisi separati.