Política da Foxit sobre divulgação de vulnerabilidades
Foxit leva a segurança muito a sério e tem como objetivo fornecer as soluções e serviços mais seguros do setor para manter os dados e sistemas dos clientes seguros. Na Foxit, investigamos todos os relatórios de vulnerabilidade recebidos e implementamos a melhor ação para proteger nossos clientes. Foxit acredita que trabalhar com pesquisadores de segurança qualificados pode identificar pontos fracos em qualquer tecnologia.
Informações de contato
Se você acredita ter encontrado uma vulnerabilidade de segurança em um produto ou serviço Foxit, entre em contato conosco:
- E-mail: [email protected]
Incentivamos a comunicação criptografada para relatórios confidenciais.
Escopo
Aceitamos relatórios de vulnerabilidade para:
- Todos os produtos e serviços desenvolvidos por Foxit atualmente suportados e distribuídos.
- Serviços e plataformas da Web operados por Foxit (por exemplo, foxit.com).
Não aceitamos relatórios de vulnerabilidade para:
- Software ou plugins de terceiros não desenvolvidos por Foxit.
- Vulnerabilidades em serviços de terceiros ou bibliotecas usadas independentemente por terceiros.
- Produtos em fim de vida não são mais suportados.
Foxit, como CVE Numbering Authority (CNA), pode atribuir CVE IDs para vulnerabilidades que afetem produtos e serviços neste âmbito. Se uma vulnerabilidade for descoberta em um componente de terceiros incorporado em um produto Foxit, Foxit coordenará com o fornecedor upstream para tratamento e correção responsáveis, mas não controlará sua CVE atribuição ou momento de divulgação.
O que incluir em um relatório
Para nos ajudar a lidar com relatórios de forma eficiente, inclua:
- O(s) Foxit produto(s) ou serviço(s) afetado(s).
- Descrição do problema de segurança suspeito e seu impacto.
- Prova de conceito (PoC) ou evidências de apoio, se disponíveis.
- Qualquer cronograma de divulgação planejado, se aplicável.
Resposta Processo
Ao receber um relatório de vulnerabilidade, iremos:
- Acusar o recebimento em até 5 dias úteis.
- Valide e avalie o impacto da vulnerabilidade.
- Mantenha o relator informado sobre o progresso e os planos de mitigação.
Divulgação Linha do tempo
Seguimos o princípio da divulgação coordenada de vulnerabilidades:
- As vulnerabilidades Foxit confirmadas serão divulgadas publicamente somente após a correção correspondente ter sido liberada aos clientes.
- O rastreamento interno é mantido para todas as vulnerabilidades confirmadas para gerenciar a correção com eficiência.
- Quando apropriado, também poderemos compartilhar informações sobre vulnerabilidades confirmadas com comunidades relevantes de gerenciamento de vulnerabilidades para garantir que o problema seja devidamente registrado e comunicado.
- Para vulnerabilidades identificadas em software de terceiros usado em produtos Foxit, notificaremos o fornecedor afetado e apoiaremos a correção coordenada, mas não controlaremos o momento de suas divulgações.
Reconhecimento e Atribuição
Se desejar, reconheceremos sua contribuição em nossos avisos de segurança. Alternativamente, respeitamos os pedidos de anonimato.
Poderemos oferecer crédito em nosso site, dependendo da natureza da vulnerabilidade.
Observação: Reconhecimento refere-se a reconhecer sua contribuição e Atribuição refere-se a nomear publicamente o pesquisador.
Porto seguro
Foxit não iniciará ações legais contra indivíduos que:
- Conduza pesquisas de segurança de boa fé.
- Siga os princípios da divulgação responsável.
- Evite acesso não autorizado a dados, interrupção de serviço ou violações de privacidade.
Diretrizes de divulgação responsável
Para nos ajudar a lidar com vulnerabilidades de forma eficaz e responsável, pedimos aos pesquisadores que:
- Aguarde Foxit um período de tempo razoável para investigar e corrigir o problema relatado antes de compartilhá-lo publicamente ou com terceiros. Nós nos esforçamos para resolver problemas críticos o mais rápido possível.
- Tome cuidado para evitar ações que possam violar a privacidade, danificar dados ou interromper/degradar os serviços de Foxit.
Atividades Proibidas
As seguintes ações são estritamente proibidas durante pesquisas de segurança:
- Realizar atividades que possam impactar negativamente Foxit ou seus usuários (por exemplo, spam, força bruta, negação de serviço).
- Acessar ou tentar acessar, destruir ou corromper, tentar destruir ou corromper dados ou informações que não pertencem a você.
- Conduzir qualquer ataque físico ou eletrônico a Foxit funcionários, propriedades ou centros de dados.
- Envolver-se em engenharia social contra qualquer Foxit service desk, funcionário ou contratado.
- Violar quaisquer leis ou violar quaisquer acordos para descobrir vulnerabilidades.
Publicação
Vulnerabilidades confirmadas e corrigidas serão publicadas em:
- Nossa página de aconselhamento de segurança: https://www.foxit.com/pt/support/security-bulletins.html.
- O CVE List e plataformas relevantes de gerenciamento de vulnerabilidades do setor quando um ID CVE é atribuído.
Observação: Certos problemas, como configurações incorretas do site ou descobertas identificadas exclusivamente por ferramentas de verificação automatizadas, podem ser resolvidos internamente, mas não serão publicados como avisos separados.