Программа раскрытия уязвимостей

Нашли уязвимость?
Сначала сообщите нам.

Мы рассматриваем каждое достоверное сообщение. Сначала Hall of Fame; добровольная выплата в знак признания может рассматриваться индивидуально.

Показать PGP-ключ

Наш подход

Безопасность — это командная работа.

Исследователи безопасности — не противники. Часто именно они первыми обнаруживают реальные уязвимости. Мы относимся к вам с уважением: честные ответы, понятные условия и справедливое признание. Это Программа раскрытия уязвимостей с возможным признанием в Hall of Fame и необязательными небольшими выплатами в знак признания после индивидуальной проверки. Это не традиционная bug bounty-программа с фиксированными или гарантированными выплатами.

Apple указывает нашего основателя Chris Bohn по имени в официальном обновлении безопасности для сообщенной уязвимости ядра в OS X (CVE-2013-1029). Мы по собственному опыту знаем, сколько работы требует хороший отчет и насколько важно справедливое отношение. Источник: support.apple.com/en-us/103517

Как это работает

От сообщения до исправления за три шага.

Без бюрократии. Без форм. Без скрытых процедур.

Шаг 01

Сообщение

Напишите на . Опишите затронутый актив, шаги воспроизведения и реалистичное влияние. Чем точнее ваш отчет, тем быстрее мы сможем его проверить.

Шаг 02

Триаж

Мы рассматриваем достоверные сообщения и обычно отвечаем в течение нескольких рабочих дней. Если возникнут задержки, мы будем держать вас в курсе.

Шаг 03

Исправление & признание

Исправления приоритизируются по степени серьезности. Подходящие и подтвержденные находки могут быть отмечены в нашей Hall of Fame. Для подходящих уязвимостей продуктов мы рассматриваем координацию CVE.

RFC 9116

security.txt

Используете сканер или проверяете /.well-known/security.txt? Вы нашли правильное место.


# https://www.protectstar.com/.well-known/security.txt

Contact: mailto:security@protectstar.com
Encryption: https://www.protectstar.com/security/pgp.asc
Policy: https://www.protectstar.com/security
Acknowledgments: https://www.protectstar.com/security/acknowledgments
Preferred-Languages: en, de
Canonical: https://www.protectstar.com/.well-known/security.txt
Canonical: https://protectstar.com/.well-known/security.txt
Expires: 2027-05-19T23:59:59Z

Открыть актуальный файл · Формат согласно RFC 9116

Область действия

Что входит в область действия.

Мы начинаем с намеренно узкой области действия, чтобы наша команда могла тщательно рассматривать каждое сообщение. Сообщения о приложениях и API приветствуются, но будут рассматриваться индивидуально.

В области действия

www.protectstar.com & protectstar.com Публичные разделы сайта, управляемые непосредственно Protectstar
Публично документированные механизмы целостности обновлений и загрузок Подписи и хэши, размещенные на инфраструктуре Protectstar
Опубликованные метаданные целостности файлов Опубликовано на protectstar.com
Дополнительные поддомены Только если они явно перечислены или письменно подтверждены нами

Вне области действия

Системы и сервисы третьих сторон Поставщики магазина и платежей, магазины приложений, CDN/хостинг, внешние движки, SDK и партнерские сервисы
API, серверы лицензирования/активации и внутренние системы, которые не были явно подтверждены
Социальная инженерия & фишинг Атаки на сотрудников, службу поддержки или партнеров
DoS / DDoS / нагрузочные тесты
Физические атаки
Self-XSS и отсутствие рекомендованных заголовков без влияния
Бета-версии / TestFlight / предварительные версии

Приложения, backend API, настольное ПО: Сообщения приветствуются, но они не попадают автоматически в область действия и не получают автоматически право на признание. Мы рассматриваем каждый отчет индивидуально.

Safe Harbor

Исследуйте добросовестно. Мы будем относиться к вам справедливо.

Если вы проводите исследование безопасности добросовестно, в рамках этой политики и исключительно на активах, явно указанных как входящие в область действия или письменно подтвержденных нами, мы считаем такое исследование авторизованным. Protectstar не будет инициировать или поддерживать судебные действия в связи с таким исследованием в той мере, в какой претензии находятся под нашим контролем.

Требования

Не использовать уязвимость сверх того, что необходимо для ее демонстрации
Не раскрывать уязвимость третьим лицам до исправления
Не эксфильтровать, не изменять, не удалять, не хранить и не передавать данные, которые вам не принадлежат. По возможности используйте тестовые аккаунты
Не публиковать и не раскрывать информацию без предварительной координации и письменного разрешения; 90 дней — наш ориентир, а не автоматическое разрешение
Не допускать намеренного нарушения работы сервиса или уничтожения данных
Соблюдение законов, применимых к вам, вашему исследованию и затронутым системам

Если вы случайно увидели данные, которые вам не принадлежат, немедленно остановитесь. Не получайте к ним дальнейший доступ, не копируйте, не изменяйте, не удаляйте, не храните и не передавайте их; сообщите только минимальный объем информации, необходимый для проверки. Эта гарантия распространяется исключительно на претензии, находящиеся под контролем Protectstar, и не разрешает никаких действий, запрещенных законом. Она не распространяется на действия против систем, сервисов, сетей или данных третьих сторон и не препятствует независимым действиям третьих сторон. Если сомневаетесь: спросите заранее, а не постфактум.

Признание

Сначала Hall of Fame. Небольшие выплаты в знак признания — индивидуально.

Protectstar не ведет традиционную bug bounty-программу с фиксированными или гарантированными выплатами. Наш фокус — справедливая проверка, координированное устранение и возможное признание в Hall of Fame для отчетов, соответствующих нашим требованиям. Кроме того, Protectstar может по своему единоличному усмотрению предложить небольшую добровольную денежную выплату в знак признания за особенно полезные, подтвержденные, ранее неизвестные и входящие в область действия отчеты. Право на выплату не возникает; любое решение о выплате и ее размере принимается только после проверки полного технического отчета.

Требования для возможного признания в Hall of Fame

Действителен и воспроизводимо задокументирован
Ранее неизвестен и не находится на внутренней проверке
В области действия согласно перечисленным выше областям
Отправлен первым (учитывается первый сообщивший)
Сообщено без нарушения этой политики
Существенно значим для безопасности Protectstar или наших пользователей
Без угроз или требований оплаты до, во время или после сообщения

Классификация серьезности

Серьезность влияет на приоритет исправления и возможное признание. Hall of Fame остается нашей основной формой признания.

Серьезность	Типичные примеры	Возможное признание
Критическая	Удаленное выполнение кода, обход аутентификации, массовая утечка данных, компрометация целостности обновлений	Hall of Fame; небольшая добровольная выплата в знак признания может рассматриваться после индивидуальной проверки
Высокая	Повышение привилегий, криптографические слабости с влиянием, захват аккаунта	Hall of Fame; небольшая добровольная выплата в знак признания может рассматриваться после индивидуальной проверки
Средняя	Stored XSS, IDOR с доказуемым влиянием, проблемы сессий	Hall of Fame; небольшая необязательная выплата в знак признания может рассматриваться при ясном и воспроизводимом влиянии
Низкая	Reflected XSS с ограниченным влиянием, раскрытие информации без последствий	Обычно Hall of Fame или благодарность; денежное признание только в исключительных случаях

Серьезность оценивается с использованием CVSS 4.0 или CVSS 3.1 как ориентира. Окончательную оценку делает Protectstar; по запросу мы можем письменно объяснить отличающиеся оценки. Мы не обсуждаем суммы до получения и проверки полного технического отчета.

Сроки ответа

Наши целевые сроки.

Мы небольшая команда, а не круглосуточный SOC. Эти цифры — наши целевые показатели. Если возникнут задержки, мы сообщим вам.

3 рабочих дней Подтверждение получения (цель)

10 рабочих дней Первичный технический триаж (цель)

90 дней Координированное раскрытие (цель)

Шифрование

PGP-ключ.

Для чувствительных деталей уязвимости вы можете зашифровать отчет.

Отпечаток

B8DB 47D7 DBE5 DD63 7C65 80E0 3513 CE31 BD10 B7AD

ID ключа

0x3513CE31BD10B7AD

Идентификатор

PROTECTSTAR Support Hero
< >

Этот ключ сейчас связан с и авторизован Protectstar для зашифрованной связи с .

Скачать ключ

Hall of Fame

Кто нам помог.

Исследователи безопасности, которые ответственно использовали нашу программу и помогли сделать наши продукты безопаснее.

Записей пока нет.

Наша программа только запущена. Отчеты, соответствующие нашим требованиям, могут быть отмечены здесь.

По запросу — под юридическим именем или псевдонимом. Для подходящих уязвимостей продуктов мы рассматриваем координацию CVE через подходящего CNA.

Часто задаваемые вопросы

Прежде чем спросить.

Что означает «добросовестно»?

Добросовестное исследование означает, что вы следуете этой политике, демонстрируете уязвимость без эксплуатации сверх необходимого, сначала сообщаете о ней нам и даете нам время на исправление. Safe Harbor больше не применяется, если вы пересекаете эту границу, эксфильтруете пользовательские данные или удерживаете технические детали, чтобы требовать оплату.

Получу ли я оплату за свой отчет?

Не автоматически. Protectstar не ведет традиционную bug bounty-программу с фиксированными или гарантированными выплатами. Hall of Fame — наша основная форма признания. За особенно полезные, подтвержденные, ранее неизвестные и входящие в область действия отчеты мы можем по своему единоличному усмотрению предложить небольшую добровольную денежную выплату в знак признания. Мы не обсуждаем вознаграждения до получения и проверки полного технического отчета.

Что если я хочу сообщить анонимно?

Мы принимаем анонимные сообщения и технически рассматриваем их так же. По запросу мы укажем вас в Hall of Fame под псевдонимом, если требования выполнены.

Как определяется серьезность?

Мы используем CVSS 4.0 или CVSS 3.1 как ориентир и дополняем его факторами влияния из вашей демонстрации. Окончательную оценку делает Protectstar. Если наша оценка отличается от вашей, мы можем объяснить ее по запросу.

Получит ли моя находка CVE ID?

Для подходящих уязвимостей продуктов мы рассматриваем координацию CVE через подходящего CNA или другой подходящий канал. CVE ID не гарантируется и зависит от правил CVE соответствующего CNA.

Можно ли использовать автоматизированные сканеры?

Да, но только неинвазивно, с ограничением частоты и на активах, явно указанных как входящие в область действия. Агрессивные инструменты, высокие частоты запросов или тесты, которые могут повлиять на доступность для других пользователей, не допускаются. Сырые результаты сканера без подтвержденного влияния, например отсутствующие заголовки, замечания TLS или раскрытие версии, не подходят для признания. Если сомневаетесь: спросите сначала.

Что насчет дублирующих отчетов?

Учитывается первый сообщивший. Если уязвимость уже известна внутри компании или уже была сообщена, она не имеет права на признание. Мы сообщим вам об этом как можно раньше.

Мой отчет касается приложения или backend API. Это входит в область действия?

Сообщения о приложениях и API Protectstar приветствуются. Однако на первом этапе они рассматриваются индивидуально и не имеют автоматического права на признание, если затронутый актив не указан явно выше или не подтвержден нами письменно. Тем не менее отправьте нам свой отчет.

Отправьте нам свой отчет.

Мы рассматриваем достоверные сообщения и обычно отвечаем в течение нескольких рабочих дней.

PGP доступен · security.txt согласно RFC 9116 · Safe Harbor для добросовестных исследований

Программа активна

Программа раскрытия уязвимостей версия 1.0

Активна с мая 2026 г. Последнее обновление: 20 мая 2026 г.

Мы обновляем эту страницу, когда область действия, условия или сроки ответа существенно меняются. По юридическим вопросам о гарантии Safe Harbor свяжитесь с до проведения исследования.