报告安全漏洞
Dewesoft 产品安全事件响应团队(PSIRT)欢迎用户和研究人员提交报告。如果您认为在 Dewesoft 网站或产品中发现了漏洞,或存在数据保护问题,请从以下渠道中选择合适的途径,并将详细信息发送给我们。
关于本页面
如何报告安全漏洞
Dewesoft PSIRT 鼓励对安全漏洞进行负责任的披露。通过协调报告,我们可以更快地修复问题,及时向客户通报情况,并持续提升我们的软件、仪器和在线服务的安全性。
请阅读以下渠道,并选择与您的发现相符的那个。每份报告都会由 PSIRT 进行审核,并予以保密处理。
这不是安全问题吗? 关于产品质量、保修、许可或技术支持的一般性问题,PSIRT不予处理。请使用标准 Dewesoft 支持与联系渠道 而是,这样您的请求才能及时送达正确的团队。
三种报告渠道
报告应提交至何处
频道 01 · 网络
网站安全漏洞
针对影响 Dewesoft 网站或在线服务的漏洞或安全事件——例如 dewesoft.com、支持门户、开发者门户、论坛或商店门户。
典型的发现包括跨站脚本攻击、注入攻击、身份验证或访问控制漏洞、不安全的配置,以及敏感数据泄露。
频道 02 · 产品
产品安全漏洞
关于 Dewesoft 产品中的漏洞或安全事件——包括 DewesoftX 和 DewesoftM 软件、固件、API 和 SDK,以及 SIRIUS、KRYPTON、IOLITE、OBSIDIAN 等数据采集硬件及相关设备。
请告知我们受影响的具体产品、型号以及软件或固件版本。
频道 03 · 数据
数据保护问题
关于数据保护和隐私方面的问题——例如疑似个人数据泄露、个人信息外泄,或者对 Dewesoft 如何处理您的数据存在疑问。
您还可以通过此渠道根据适用的隐私法律提出数据主体请求。
让您的报告具有可操作性
应包含哪些信息
对于网站或产品的漏洞,您提供的细节越详细,我们就能越快复现并解决问题。如条件允许,请提供以下信息:
01
受影响的目标
产品、型号以及软件或固件版本——或者网站漏洞的确切URL。
02
描述与证明
对该漏洞的清晰描述,包括重现步骤、概念验证、利用代码或网络跟踪记录(如有)。
03
公开引用
是否有任何相关参考资料,以及该问题是否已公开披露——若已披露,是由谁披露的。
要发送大文件吗? 如果您需要分享大量数据,请在邮件中说明,我们将与您协商安排一种安全的传输方式。
负责任的披露
本着诚意通力合作
我们要求研究人员遵循这些原则,以便我们能够在不危及用户或系统安全的情况下调查并解决问题。
✓ 请一定这样做
发现问题后,请尽快报告。
在向公众披露之前,请给予我们合理的调查和整改时间。
请提供足够详细的描述,以便复现该问题。
请秉持善意行事,避免侵犯隐私或导致服务中断。
✕ 请避免
访问、修改或删除不属于您的数据。
降低服务可用性,例如进行拒绝服务测试。
针对员工或设施的社会工程学攻击、网络钓鱼或物理攻击。
在问题尚未解决之前就将其公之于众。
重要信息
01 提交的报告 英语 以便尽快处理。请尽可能清楚地描述问题。
02 此前已公开的、被归类为 信息性的 可能不符合认可条件。
03 我们向帮助我们提升安全性的研究人员表示感谢。请在报告中告知我们,您是否希望获得署名,以及希望以何种方式署名。
04 我们强烈建议 加密电子邮件 涉及敏感信息时,请在发送前联系 PSIRT 索取我们当前的公钥。