漏洞揭露政策
一、政策目的
TeamT5 長期致力於保護客戶、合作夥伴及社群的資訊安全。我們誠摯歡迎安全研究人員、資安專家或任何善意第三方,負責任地向我們通報網站、產品或基礎架構中可能存在的安全漏洞或事件。
本政策旨在:
- 提供明確、透明的通報管道
- 保護善意研究人員免受法律追究
- 共同提升我們產品與服務的安全性
二、適用範圍
本政策適用於:
- 本公司開發、維護及營運的官方網站、雲端服務與基礎設施
- 本公司所提供的 EDR 與其他資安產品及解決方案
- 與本公司資訊安全相關的任何資產
三、不屬於範圍項目
以下項目通常不視為漏洞,恕不受理或回覆:
- SPF / DMARC / DKIM 設定問題
- 公開目錄列表(無敏感資料)
- HTTP 錯誤訊息或版本資訊洩漏
- 客戶端安全(如用戶自行設定弱密碼)
- 需物理存取的攻擊情境
- 任何非屬本公司管理的第三方資源或服務
四、通報流程
(1) 報告內容
- 受影響產品 / 服務名稱與版本
- 漏洞描述及潛在影響
- 重現步驟或 Proof of Concept (PoC)
- 聯絡方式(Email)
(2) 提交方式
- Email 至:[email protected] or [email protected]
- 主旨請註明「[Vulnerability Report]」
(3) 我們的處理流程
- 72 小時內發送初步確認
- 根據漏洞嚴重度進行評估與修補
- 修補完成並公告後,若您同意,將列名於感謝頁
- 90 天原則:建議在回報日起 90 天內不公開漏洞細節(如有特殊情況可協調調整)
(4) CVE 流程
- 若漏洞符合公開標準,我們將協助向 CNA 申請 CVE 編號
- 若您同意,可在 CVE 中共同列名為發現者
五、責任揭露原則
我們期望報告者:
- 不公開漏洞細節,直到本公司發布修補或公告
- 僅進行必要測試,不利用漏洞取得或外洩敏感資料
- 不執行破壞性測試、不安裝後門或持久化控制
- 給予本公司 90 天合理修補期(依情況可協調)
- 提供詳細完整的報告協助評估
六、法律聲明與 Safe Harbor
- 我們感謝每位善意回報者,對依本政策善意通報之行為不會主張法律責任。
- 若報告者違反法律或惡意利用漏洞,本公司有權依法追究其相關民事及刑事法律責任。
- 本政策不構成與本公司之間的任何契約或合作協議;我們可視情況更新本政策。
七、聯絡方式
- Email: [email protected] or [email protected]