برنامج الإفصاح عن الثغرات

هل عثرت على ثغرة؟
أخبرنا أولًا.

نراجع كل بلاغ موثوق. تأتي Hall of Fame أولًا؛ وقد يُنظر في دفعة تقديرية طوعية لكل حالة على حدة.

نهجنا

الأمن عمل جماعي.

باحثو الأمن ليسوا خصومًا. فهم غالبًا أول من يكتشف الثغرات الحقيقية. نتعامل معك باحترام: إجابات صادقة، شروط واضحة، وتقدير عادل. هذا برنامج للإفصاح عن الثغرات مع إمكانية التقدير في Hall of Fame ودفعات تقديرية صغيرة اختيارية بعد مراجعة كل حالة على حدة. إنه ليس برنامج bug bounty تقليديًا بمدفوعات ثابتة أو مضمونة.

تذكر Apple مؤسسنا Chris Bohn بالاسم في تحديث أمني رسمي لثغرة kernel مُبلغ عنها في OS X (CVE-2013-1029). نحن نعرف من واقع الخبرة مقدار العمل الذي تتطلبه البلاغات الجيدة ومدى أهمية المعاملة العادلة. المصدر: support.apple.com/en-us/103517

كيف يعمل

من البلاغ إلى الإصلاح في ثلاث خطوات.

لا بيروقراطية. لا نماذج. لا إجراءات مخفية.

الخطوة 01

الإبلاغ

راسلنا عبر البريد الإلكتروني على . صف الأصل المتأثر، وخطوات إعادة الإنتاج، والأثر الواقعي. كلما كان بلاغك أدق، تمكنا من مراجعته بسرعة أكبر.

الخطوة 02

الفرز

نراجع البلاغات الموثوقة ونرد عادةً خلال بضعة أيام عمل. إذا حدث تأخير، فسنطلعك على المستجدات.

الخطوة 03

الإصلاح & التقدير

تُرتب الإصلاحات حسب شدة الثغرة. قد تُدرج النتائج المؤهلة والمثبتة في Hall of Fame لدينا. بالنسبة إلى ثغرات المنتجات المناسبة، نراجع تنسيق CVE.

RFC 9116

security.txt

هل تستخدم ماسحًا أو تتحقق من /.well-known/security.txt؟ لقد وصلت إلى المكان الصحيح.


# https://www.protectstar.com/.well-known/security.txt

Contact: mailto:security@protectstar.com
Encryption: https://www.protectstar.com/security/pgp.asc
Policy: https://www.protectstar.com/security
Acknowledgments: https://www.protectstar.com/security/acknowledgments
Preferred-Languages: en, de
Canonical: https://www.protectstar.com/.well-known/security.txt
Canonical: https://protectstar.com/.well-known/security.txt
Expires: 2027-05-19T23:59:59Z

فتح الملف المباشر · التنسيق وفقًا لـ RFC 9116

النطاق

ما يقع ضمن النطاق.

نبدأ بنطاق ضيق عمدًا حتى يتمكن فريقنا من مراجعة كل بلاغ بعناية. نرحب بالبلاغات المتعلقة بالتطبيقات وواجهات API، لكنها ستُراجع كل حالة على حدة.

داخل النطاق

www.protectstar.com & protectstar.com المناطق العامة من الموقع التي تديرها Protectstar مباشرة
آليات سلامة التحديثات والتنزيلات الموثقة علنًا التواقيع والهاشات المستضافة على بنية Protectstar التحتية
بيانات سلامة الملفات المنشورة منشورة على protectstar.com
نطاقات فرعية إضافية فقط عندما تكون مدرجة صراحةً أو مؤكدة منا كتابةً

خارج النطاق

أنظمة وخدمات الأطراف الثالثة مزودو المتجر والدفع، متاجر التطبيقات، CDN/الاستضافة، المحركات الخارجية، SDKs، وخدمات الشركاء
واجهات API وخوادم الترخيص/التفعيل والأنظمة الداخلية التي لم يتم تأكيدها صراحةً
الهندسة الاجتماعية & التصيد استهداف الموظفين أو الدعم أو الشركاء
DoS / DDoS / اختبارات الحجم
هجمات مادية
Self-XSS وغياب ترويسات أفضل الممارسات دون أثر
إصدارات Beta / TestFlight / ما قبل الإصدار

التطبيقات، واجهات API الخلفية، برامج سطح المكتب: نرحب بالبلاغات، لكنها لا تُعد تلقائيًا ضمن النطاق أو مؤهلة للتقدير. نراجع كل بلاغ على حدة.

Safe Harbor

ابحث بحسن نية. سنتعامل معك بإنصاف.

إذا أجريت بحثًا أمنيًا بحسن نية، ضمن هذه السياسة، وحصرًا على الأصول المدرجة صراحةً ضمن النطاق أو المؤكدة منا كتابةً، فإننا نعتبر هذا البحث مصرّحًا به. لن تبدأ Protectstar أو تدعم أي إجراء قانوني بسبب هذا البحث إلى الحد الذي تكون فيه المطالبات ضمن سيطرتنا.

المتطلبات

عدم الاستغلال بما يتجاوز ما يلزم لإثبات الثغرة
عدم الإفصاح عن الثغرة لأطراف ثالثة قبل الإصلاح
عدم استخراج أو تعديل أو حذف أو تخزين أو مشاركة بيانات لا تخصك. استخدم حسابات اختبار كلما أمكن
عدم النشر أو الإفصاح دون تنسيق مسبق وموافقة كتابية؛ 90 يومًا هي إرشادنا وليست تفويضًا تلقائيًا
عدم التسبب عمدًا في تعطيل الخدمة أو إتلاف البيانات
الامتثال للقوانين التي تنطبق عليك وعلى بحثك وعلى الأنظمة المتأثرة

إذا رأيت عن طريق الخطأ بيانات لا تخصك، فتوقف فورًا. لا تصل إليها أو تنسخها أو تعدلها أو تحذفها أو تخزنها أو تشاركها، وبلّغ فقط بالحد الأدنى من المعلومات اللازمة للتحقق. ينطبق هذا الضمان حصريًا على المطالبات الواقعة ضمن سيطرة Protectstar ولا يصرّح بأي سلوك يحظره القانون. ولا يمتد إلى أنشطة ضد أنظمة أو خدمات أو شبكات أو بيانات تابعة لأطراف ثالثة، ولا يمنع الإجراءات المستقلة من أطراف ثالثة. عند الشك: اسأل أولًا، وليس بعد ذلك.

التقدير

Hall of Fame أولًا. دفعات تقديرية صغيرة لكل حالة على حدة.

لا تدير Protectstar برنامج bug bounty تقليديًا بمدفوعات ثابتة أو مضمونة. ينصب تركيزنا على المراجعة العادلة، والمعالجة المنسقة، وإمكانية التقدير في Hall of Fame للبلاغات التي تستوفي متطلباتنا. إضافةً إلى ذلك، يجوز لـ Protectstar، وفق تقديرها وحده، تقديم دفعة تقديرية مالية صغيرة وطوعية للبلاغات المفيدة جدًا والمثبتة وغير المعروفة سابقًا والواقعة ضمن النطاق. لا يوجد استحقاق للدفع؛ ولا يُتخذ أي قرار بمنح دفعة أو تحديد مبلغها إلا بعد التحقق من التقرير الفني الكامل.

متطلبات التقدير المحتمل في Hall of Fame

صحيح وموثق بشكل قابل لإعادة الإنتاج
غير معروف سابقًا وليس قيد المراجعة الداخلية بالفعل
داخل النطاق وفق المناطق المدرجة أعلاه
مقدم أولًا (يُحتسب أول مُبلّغ)
تم الإبلاغ عنه دون انتهاك هذه السياسة
ذو صلة جوهرية بأمن Protectstar أو مستخدمينا
دون تهديدات أو مطالبات بالدفع قبل البلاغ أو أثناءه أو بعده

تصنيف الشدة

تؤثر الشدة في أولوية الإصلاح وإمكانية التقدير. تظل Hall of Fame شكل التقدير الأساسي لدينا.

الشدة	أمثلة شائعة	التقدير المحتمل
حرجة	تنفيذ كود عن بُعد، تجاوز المصادقة، تسرب بيانات واسع، اختراق سلامة التحديثات	Hall of Fame؛ قد يُنظر في دفعة تقديرية طوعية صغيرة بعد مراجعة كل حالة على حدة
عالية	تصعيد الصلاحيات، نقاط ضعف تشفيرية ذات أثر، الاستيلاء على حساب	Hall of Fame؛ قد يُنظر في دفعة تقديرية طوعية صغيرة بعد مراجعة كل حالة على حدة
متوسطة	Stored XSS، وIDOR بأثر قابل للإثبات، ومشكلات الجلسات	Hall of Fame؛ قد يُنظر في دفعة تقديرية صغيرة اختيارية عند وجود أثر واضح وقابل لإعادة الإنتاج
منخفضة	Reflected XSS بأثر محدود، إفصاح معلومات دون عواقب	عادةً Hall of Fame أو شكر؛ التقدير المالي فقط في حالات استثنائية

تُقيّم الشدة باستخدام CVSS 4.0 أو CVSS 3.1 كإرشاد. تتخذ Protectstar التقييم النهائي؛ ويمكننا شرح التقييمات المختلفة كتابةً عند الطلب. لا نتفاوض على المبالغ قبل استلام التقرير الفني الكامل والتحقق منه.

أوقات الاستجابة

أطرنا الزمنية المستهدفة.

نحن فريق صغير، ولسنا مركز عمليات أمنية يعمل 24/7. هذه الأرقام هي أهدافنا. إذا حدث تأخير، فسنعلمك.

3 أيام عمل تأكيد الاستلام (هدف)

10 أيام عمل الفرز الفني الأولي (هدف)

90 أيام الإفصاح المنسق (هدف)

التشفير

مفتاح PGP.

بالنسبة إلى تفاصيل الثغرات الحساسة، يمكنك تشفير بلاغك.

بصمة المفتاح

B8DB 47D7 DBE5 DD63 7C65 80E0 3513 CE31 BD10 B7AD

معرّف المفتاح

0x3513CE31BD10B7AD

الهوية

PROTECTSTAR Support Hero
< >

يرتبط هذا المفتاح حاليًا بـ وهو مصرّح من Protectstar للتواصل المشفر مع .

تنزيل المفتاح

Hall of Fame

من ساعدنا.

باحثو الأمن الذين استخدموا برنامجنا بمسؤولية وساعدوا في جعل منتجاتنا أكثر أمانًا.

لا توجد إدخالات بعد.

لقد أُطلق برنامجنا للتو. قد تُنسب هنا البلاغات التي تستوفي متطلباتنا.

يُدرج الاسم القانوني أو الاسم المستعار عند الطلب. بالنسبة إلى ثغرات المنتجات المناسبة، نراجع تنسيق CVE عبر CNA مناسب.

الأسئلة الشائعة

قبل أن تسأل.

ماذا يعني "بحسن نية"؟

البحث بحسن نية يعني أنك تتبع هذه السياسة، وتثبت الثغرة دون استغلال يتجاوز ما هو ضروري، وتبلغنا بها أولًا، وتمنحنا وقتًا لإصلاحها. لا يعود Safe Harbor ساريًا إذا تجاوزت هذا الحد، أو استخرجت بيانات المستخدمين، أو حجبت التفاصيل الفنية للمطالبة بالدفع.

هل سأحصل على أجر مقابل بلاغي؟

ليس تلقائيًا. لا تدير Protectstar برنامج bug bounty تقليديًا بمدفوعات ثابتة أو مضمونة. Hall of Fame هي شكل التقدير الأساسي لدينا. بالنسبة إلى البلاغات المفيدة جدًا والمثبتة وغير المعروفة سابقًا والواقعة ضمن النطاق، قد نقدم، وفق تقديرنا وحده، دفعة تقديرية مالية صغيرة وطوعية. لا نتفاوض على المكافآت قبل استلام التقرير الفني الكامل والتحقق منه.

ماذا لو أردت الإبلاغ دون الكشف عن هويتي؟

نقبل البلاغات المجهولة ونراجعها فنيًا بالطريقة نفسها. عند الطلب، سننسب لك الفضل في Hall of Fame باسم مستعار إذا استوفيت المتطلبات.

كيف تُحدد الشدة؟

نستخدم CVSS 4.0 أو CVSS 3.1 كإرشاد ونكمله بعوامل الأثر من العرض الذي تقدمه. تتخذ Protectstar التقييم النهائي. إذا اختلف تقييمنا عن تقييمك، يمكننا شرحه عند الطلب.

هل سيحصل اكتشافي على CVE ID؟

بالنسبة إلى ثغرات المنتجات المناسبة، نراجع تنسيق CVE عبر CNA مناسب أو قناة مناسبة أخرى. لا يُضمن الحصول على CVE ID ويعتمد ذلك على قواعد CVE لدى CNA.

هل يمكنني استخدام ماسحات آلية؟

نعم، ولكن فقط بطريقة غير تدخلية ومحدودة المعدل وعلى الأصول المدرجة صراحةً ضمن النطاق. لا يُسمح بالأدوات العدوانية أو معدلات الطلب العالية أو الاختبارات التي قد تؤثر في إتاحة الخدمة لمستخدمين آخرين. لا تكون مخرجات الماسح الخام دون أثر متحقق، مثل الترويسات المفقودة أو ملاحظات TLS أو كشف الإصدارات، مؤهلة للتقدير. عند الشك: اسأل أولًا.

ماذا عن البلاغات المكررة؟

يُحتسب أول مُبلّغ. إذا كانت الثغرة معروفة داخليًا بالفعل أو تم الإبلاغ عنها سابقًا، فهي غير مؤهلة للتقدير. سنخبرك في أقرب وقت ممكن.

بلاغي يتعلق بتطبيق أو API خلفية. هل هو ضمن النطاق؟

نرحب بالبلاغات المتعلقة بتطبيقات Protectstar وواجهات API. ومع ذلك، في هذه المرحلة الأولى، تُراجع كل حالة على حدة ولا تكون مؤهلة تلقائيًا للتقدير إلا إذا كان الأصل المتأثر مدرجًا أعلاه صراحةً أو مؤكدًا منا كتابةً. ومع ذلك، يرجى إرسال بلاغك.

أرسل بلاغك إلينا.

نراجع البلاغات الموثوقة ونرد عادةً خلال بضعة أيام عمل.

PGP متاح · security.txt وفق RFC 9116 · Safe Harbor للبحث بحسن نية