Foxit 漏洞揭露 政策
Foxit 非常重視安全性,旨在提供業界最安全的解決方案和服務,以確保客戶資料和系統的安全。在Foxit,我們調查所有收到的漏洞報告並實施最佳行動方案以保護我們的客戶。 Foxit 相信與熟練的安全研究人員合作可以識別任何技術的弱點。
範圍
我們接受以下漏洞報告:
- 目前支援和分發所有Foxit開發的產品和服務。
- 由 Foxit 所經營的網路服務和平台(例如, foxit.com)。
我們不接受以下漏洞報告:
- 非由Foxit開發的第三方軟體或外掛程式。
- 他人獨立使用的第三方服務或庫中的漏洞。
- 不再支援停產產品。
Foxit,作為 CVE Numbering Authority (CNA),可以分配 CVE IDs 影響此範圍內的產品和服務的漏洞。如果在Foxit產品中嵌入的第三方組件中發現漏洞,Foxit將與上游供應商協調以負責處理和修復,但不控制他們的CVE分配或揭露時間。
什麼 包含在報告中
為了幫助我們有效地處理報告,請包括:
- 受影響的Foxit產品或服務。
- 描述可疑的安全問題及其影響。
- 概念驗證 (PoC) 或支持證據(如果有)。
- 任何計劃的揭露時間表(如果適用)。
回覆 過程
收到漏洞報告後,我們將:
- 5 個工作天內確認收貨。
- 驗證並評估漏洞的影響。
- 讓記者了解進度和緩解計畫。
揭露 時間軸
我們遵循協調漏洞揭露的原則:
- 只有在向客戶發布相應的修復程序後,才會公開披露已確認的Foxit漏洞。
- 對所有已確認的漏洞進行內部跟踪,以有效地管理修復。
- 在適當的情況下,我們也可能與相關漏洞管理社群分享已確認漏洞的訊息,以確保正確記錄和傳達問題。
- 對於Foxit產品中使用的第三方軟體中發現的漏洞,我們將通知受影響的供應商並支援協調修復,但我們不控制其揭露的時間。
認可與署名
如果您願意,我們將感謝您在我們的安全建議中所做的貢獻。另外,我們尊重匿名請求。
根據漏洞的性質,我們可能會在我們的網站上提供信用。
筆記: 認可是指承認您的貢獻,歸因是指公開命名研究人員。
安全港
Foxit 不會對下列個人採取法律行動:
- 真誠地進行安全研究。
- 遵循負責任的揭露原則。
- 避免未經授權的資料存取、服務中斷或隱私侵犯。
負責任的揭露指南
為了幫助我們有效、負責任地解決漏洞,我們懇請研究者:
- 在公開或與第三方分享之前,請留出 Foxit 合理的時間來調查並解決所報告的問題。我們努力盡快解決關鍵問題。
- 請注意避免可能侵犯隱私、損壞資料或中斷/降低 Foxit 服務的行為。
禁止活動
安全研究過程中嚴禁下列行為:
- 進行可能對 Foxit 或其使用者產生負面影響的活動(例如垃圾郵件、暴力破解、拒絕服務)。
- 存取或試圖存取、破壞或破壞、試圖破壞或破壞不屬於您的資料或資訊。
- 對 Foxit 人員、財產或資料中心進行任何實體或電子攻擊。
- 針對任何 Foxit 服務台、員工或承包商進行社會工程。
- 違反任何法律或違反任何協議來發現漏洞。
出版品
已確認和修復的漏洞將發佈在:
- 我們的安全諮詢頁面: https://www.foxit.com/zh-tw/support/security-bulletins.html.
- 這 CVE List 以及分配CVE ID時相關產業漏洞管理平台。
筆記: 某些問題,例如網站配置錯誤或僅透過自動掃描工具識別的結果,可以在內部解決,但不會作為單獨的建議發布。