Hexagon的漏洞披露程序

政策

由Hexagon的产品管理的客户数据的安全性是Hexagon愿景和使命的一个重要支持组件。我们欢迎外部安全研究团体为我们产品的安全做出贡献。如果您认为您在我们的产品中发现了安全漏洞，我们将很乐意解决这个问题。

我们一直在寻求改进。如果你对我们的保安有任何疑问或对如何改善Hexagon漏洞披露计划(VDP)有任何建议，请写信给我们(information.security@m.investmentoffunds.com）.

产品的范围

由Hexagon的产品团队选择的产品将在范围内。这些产品将列在报表的产品选择列表中。未列出的产品将被排除在VDP之外。没有特别列出的产品仍然可以使用产品列表中的“常规”类别接收漏洞报告。报告将进行评估，但评估将基于合理努力的基础。

公开披露

我们相信我们的安全透明度，任何有效的漏洞/缺陷总是在产品发布文档中报告

资格和负责任的披露

为了促进漏洞的发现和报告，并提高用户安全，我们要求您:

• 详细与我们分享安全问题;
• 请尊重我们现有的应用程序。通过自动漏洞扫描器发送垃圾邮件表单不符合负责任的披露精神;
• 在公开相关信息之前，给我们合理的时间来回应问题;
• 未经所有者明确许可，请勿访问或修改我们或我们用户的数据。仅与您自己的帐户或测试帐户进行安全性研究;
• 如果您无意中遇到用户数据，请立即与我们联系。不要查看、修改、保存、存储、传输或以其他方式访问数据，并在向Hexagon报告漏洞后立即清除任何本地信息;
• 本着诚信原则行事，以避免侵犯隐私、破坏数据、中断或降低我们的服务(包括拒绝服务)。
• 否则遵守所有适用的法律。

最佳实践报告

为了确保您的报告尽可能有效，并帮助开发团队评估和再现错误，我们建议以下错误报告的最佳实践提示。

1. 通过包含关于漏洞的实际和潜在影响的信息，以及如何利用漏洞的细节，构建更强大的报告。
2. 包括您用来发现错误的方法，以及复制错误的步骤。
3. 请在确认错误被验证后再提交结果。
4. 最好是用英语提交，但是如果你不能用英语提交足够详细的报告，请用你的母语提交。

检查的漏洞

以下问题不在VDP的讨论范围内:

• 密码、邮件和帐号策略，如邮件id验证、重置链接过期、密码复杂度等。
• 研究需要直接接触我们的产品。
• 缺少不直接导致漏洞的安全标头。
• 缺少最佳实践(我们需要安全漏洞的证据)。
• 使用已知的易受攻击的库(没有可利用的证据)。
• 来自自动化工具或扫描的报告。
• 攻击需要攻击者应用程序有权限覆盖在我们的应用程序之上(例如，点击或点击劫持)。
• 影响不受支持的浏览器或平台用户的漏洞。
• Hexagon员工或承包商的社会工程。
• 任何针对Hexagon财产或数据中心的物理攻击。
• web表单上的自动完成属性。
• 非敏感cookie上缺少cookie标志。
• 讨论如何了解给定的用户名、电子邮件地址是否有Hexagon帐户的任何报告。
• 目标用户需要操作扎根移动设备的任何数据访问。
• 任何关于动态链接库(DLL)劫持的报告都没有演示它如何获得新特权。
• 没有速率限制，除非与身份验证相关。
• 设备(ios, android，桌面应用程序)不会在修改密码时断开链接。

遵守此政策的后果

我们不会就意外的、善意的违反本政策的行为向执法部门提起民事诉讼或投诉。我们认为按照本政策进行的活动构成《计算机欺诈和滥用法》规定的“授权”行为。如果您的活动不符合我们的可接受使用政策中的某些限制，我们将出于本政策下允许安全研究的有限目的而放弃这些限制。我们不会因您规避了我们用于保护应用程序范围内的技术措施而向您提起数字千年版权法(DMCA)索赔。

如果您的报告涉及Hexagon业务合作伙伴的漏洞，Hexagon保留与业务合作伙伴共享您提交的全部内容(包括您的身份)的权利，以帮助方便测试和解决所报告的漏洞。如果第三方对您提起法律诉讼，而您遵守了Hexagon的VDP, Hexagon将采取措施，告知您的行为是遵守本政策的。

Hexagon可以自行决定，向您提供使用Hexagon产品的免费途径。此访问仅用于启用您的测试，并可能在任何时候被撤销，事先或不事先通知。

Hexagon目前没有运行Bug赏金奖励计划。所有根据漏洞披露计划向Hexagon发出的通知都是善意的，并且是为了更广泛的社区的最佳利益。