简体中文
Deutsch
English
Español
Français
Italiano
Português
Русский
العربية
हिन्दी
日本語
Android
iOS
Mac
Windows
报告
发送邮件至 。请描述资产、复现步骤和实际影响。描述越精确,我们越能快速审查。
我们的立场
安全是团队协作。
安全研究人员不是对手。他们往往是最先发现真实漏洞的人。我们会以应有的尊重对待你:诚实答复、清晰条款和公平署名。这是一个漏洞披露计划,符合条件的报告可能获得 Hall of Fame 认可,并在个案审查后可能获得自愿的小额致谢款项。它不是具有固定或保证付款的传统漏洞赏金计划。
Apple 在官方安全更新中点名致谢我们的创始人 Chris Bohn ,原因是其报告了 OS X 中的一个内核漏洞(CVE-2013-1029)。我们深知一份高质量报告需要付出多少工作,也深知公平对待的重要性。 来源: support.apple.com/en-us/103517
工作流程 步骤 01 步骤 02 步骤 03
三个步骤走向修复。
没有官僚流程。没有表格。没有隐藏流程。
初步分诊
我们会审查可信报告,通常会在几个工作日内回复。如有延迟,我们会及时告知进展。
修复 & 认可
修复会按严重程度排序。符合条件且经过验证的发现可能会列入我们的 Hall of Fame。对于合适的产品漏洞,我们会评估 CVE 协调。
RFC 9116
security.txt
正在使用扫描器或检查 /.well-known/security.txt?你找对地方了。
# https://www.protectstar.com/.well-known/security.txt Contact: mailto:security@protectstar.com Encryption: https://www.protectstar.com/security/pgp.asc Policy: https://www.protectstar.com/security Acknowledgments: https://www.protectstar.com/security/acknowledgments Preferred-Languages: en, de Canonical: https://www.protectstar.com/.well-known/security.txt Canonical: https://protectstar.com/.well-known/security.txt Expires: 2027-05-19T23:59:59Z
范围
范围内的内容。
我们从有意收窄的范围开始,以便团队能够认真审查每一份报告。关于应用和 API 的报告也欢迎提交,但会按个案审查。
范围内
- www.protectstar.com & protectstar.com 由 Protectstar 自身运营的公开网站区域
- 公开文档化的更新和下载完整性机制 Protectstar 基础设施上的签名和哈希
- 已发布的文件完整性元数据 发布于 protectstar.com
- 其他子域名 仅限明确列出或由我们书面确认的情况
范围外
- 第三方系统 & 服务 商店和支付提供商、应用商店、CDN/托管、外部引擎、SDK 和合作伙伴服务
- 未明确确认的 API、许可/激活服务器和内部系统
- 社会工程 & 网络钓鱼 针对员工、支持团队或合作伙伴
- DoS / DDoS / 流量压力测试
- 物理攻击
- 无影响的 Self-XSS 和缺失最佳实践标头
- Beta / TestFlight / 预发布版本
应用、后端 API、桌面软件: 我们欢迎提交报告,但它们不会自动进入范围或自动符合认可条件。我们会按个案审查每份报告。
安全港
善意研究。我们会公平对待你。
如果你在本政策范围内、以善意方式,仅针对明确列为范围内或由我们书面确认的资产进行安全研究,我们会将该研究视为已授权。在相关主张属于我们控制范围内的程度上,Protectstar 不会因该研究发起或支持法律行动。
要求
- 不得进行超过证明漏洞所必需范围的利用
- 修复前不得向第三方披露漏洞
- 不得外传、修改、删除、存储或分享不属于你的数据。尽可能使用测试账号
- 未经事先协调和书面批准,不得发布或披露;90 天是我们的指导原则,并非自动授权
- 不得故意中断服务或破坏数据
- 遵守适用于你、你的研究以及受影响系统的法律
如果你意外看到不属于你的数据,请立即停止,不要继续访问、复制、修改、删除或分享,只报告验证所需的最少信息。本保证仅适用于 Protectstar 控制范围内的主张,并不授权任何法律禁止的行为。它不适用于针对第三方系统、服务、网络或数据的活动,也不排除第三方采取独立行动。如有疑问:先询问,不要事后再问。
认可
优先 Hall of Fame。小额致谢款项按个案考虑。
Protectstar 不运营具有固定或保证付款的传统漏洞赏金计划。我们的重点是公平审查、协调修复,并可能对符合要求的报告给予 Hall of Fame 认可。此外,Protectstar 可自行决定,对特别有帮助、已验证、此前未知且范围内的报告提供小额自愿金钱致谢。不存在付款权利;金额以及是否付款,仅在完整技术报告验证后决定。
可能获得 Hall of Fame 认可的要求
- 有效并以可复现方式记录
- 此前未知且未处于内部审查中
- 根据上述范围属于范围内
- 首先提交(以第一位报告者为准)
- 在未违反本政策的情况下报告
- 与 Protectstar 或用户的安全实质相关
- 报告前、报告中或报告后没有威胁或付款要求
严重性分类
严重性会影响修复优先级和可能的认可。Hall of Fame 仍是我们的主要认可形式。
| 严重性 | 常见示例 | 可能的认可 |
|---|---|---|
| 严重 | 远程代码执行、身份验证绕过、大规模数据泄露、更新完整性受损 | Hall of Fame;经个案审查后可能考虑小额自愿致谢款项 |
| 高 | 权限提升、有影响的加密弱点、账号接管 | Hall of Fame;经个案审查后可能考虑小额自愿致谢款项 |
| 中 | 存储型 XSS、具有可证明影响的 IDOR、会话问题 | Hall of Fame;对于清晰且可复现的影响,可能考虑可选的小额致谢款项 |
| 低 | 影响有限的反射型 XSS、无实际后果的信息披露 | 通常为 Hall of Fame 或致谢;仅在特殊情况下给予金钱认可 |
严重性以 CVSS 4.0 或 CVSS 3.1 作为参考进行评估。Protectstar 做出最终评估;如有请求,我们可以书面说明不同评估。我们不会在收到并验证完整技术报告之前协商金额。
响应时间
我们的目标时间。
我们是精简团队,并非 24/7 SOC。这些数字是我们的目标。如有延迟,我们会告知你。
3 个工作日 确认收到(目标)
10 个工作日 初步技术分诊(目标)
90 天 协调披露(目标)
加密
PGP 密钥。
对于敏感漏洞详情,你可以加密发送报告。
指纹
B8DB 47D7 DBE5 DD63 7C65 80E0 3513 CE31 BD10 B7AD
密钥 ID
0x3513CE31BD10B7AD
身份
PROTECTSTAR Support Hero
< >
< >
此密钥目前关联到 ,并由 Protectstar 授权用于与 进行加密通信。
下载密钥 Hall of Fame
帮助过我们的人。
负责任地使用本计划并帮助提升我们产品安全性的安全研究人员。
暂无条目。
我们的计划刚刚启动。符合要求的报告可能会在此署名致谢。
常见问题
在提问之前。
善意研究意味着:你遵守本政策,在不超过必要范围的情况下证明漏洞,先向我们报告,并给我们时间修复。如果你越过该界限、外传用户数据,或扣留技术细节以索要付款,安全港将不再适用。
不会自动获得。Protectstar 不运营具有固定或保证付款的传统漏洞赏金计划。Hall of Fame 是我们的主要认可形式。对于特别有帮助、已验证、此前未知且范围内的报告,我们可自行决定提供小额自愿金钱致谢。我们不会在收到并验证完整技术报告之前协商奖励。
我们接受匿名报告,并在技术上以相同方式处理。如符合要求,我们可按请求以化名将你列入 Hall of Fame。
我们以 CVSS 4.0 或 CVSS 3.1 为参考,并结合你演示中的影响因素。Protectstar 做出最终评估。如果我们的评估与你不同,我们可按请求进行说明。
对于合适的产品漏洞,我们会通过适当的 CNA 或其他合适渠道评估 CVE 协调。CVE ID 不保证发放,并取决于 CNA 的 CVE 规则。
可以,但只能以非侵入、限速方式,并仅针对明确列为范围内的资产。不得使用激进工具、高请求速率,或可能影响其他用户可用性的测试。没有经验证影响的扫描器原始输出,例如缺失标头、TLS 备注或版本披露,不符合认可条件。如有疑问:请先询问。
以第一位报告者为准。如果漏洞已在内部知悉或已被报告,则不符合认可条件。我们会尽早告知你。
我们欢迎关于 Protectstar 应用和 API 的报告。不过在第一阶段,它们会按个案审查,除非受影响资产在上方明确列出或由我们书面确认,否则不会自动符合认可条件。尽管如此,仍请发送你的报告。
把报告发给我们。
我们会审查可信报告,通常在几个工作日内回复。
支持 PGP · security.txt 符合 RFC 9116 · 面向善意研究的安全港