Ujawnienie podatności Mastercam
Przegląd
Mastercam zobowiązuje się do usuwania wszelkich luk w naszych produktach. Chętnie współpracujemy z badaczami, którzy odkryli te problemy i będziemy dążyć do ich szybkiego rozwiązania. Przywiązujemy również dużą wagę do uznania i docenienia wkładu badaczy, którzy współpracują z nami w celu zwiększenia bezpieczeństwa Mastercam.
Domeny
- Mastercam.com
- my.Mastercam.com
Cele reakcji
Mastercam będzie dążyć do spełnienia następujących warunków SLA dla uczestników naszego programu:
| Typ odpowiedzi | SLA w dniach roboczych |
| Pierwsza odpowiedź | 2 dni |
| Czas na przeszukanie | 5 dni |
| Czas do rozwiązania | Zależnie od dotkliwości i złożoności |
Dołożymy wszelkich starań, aby informować Cię o postępach w całym procesie.
Zasady programu
- Pracownicy lub krewni pracowników nie mogą brać udziału w konkursie.
- Prosimy o dostarczenie szczegółowych raportów z powtarzalnymi krokami lub działającego Proof of Concept.
- Prześlij jedną lukę w zabezpieczeniach na raport, chyba że musisz połączyć luki w zabezpieczeniach, aby przedstawić ich wpływ.
- Nie ujawniaj publicznie błędu bezpieczeństwa, zanim nie zostanie on naprawiony.
Priorytet
Skupiamy się głównie na krytycznych i poważnych lukach w zabezpieczeniach, które zagrażają poufności, dostępności i integralności aplikacji, z naciskiem na OWASP Top 10 Desktop Application Security Risks. Priorytetowo traktujemy następujące rodzaje luk w zabezpieczeniach:
- Narażenie wrażliwych danych
- Niewłaściwe użycie kryptografii
- Korzystanie z komponentów ze znanymi lukami w zabezpieczeniach
- Niewystarczające rejestrowanie i monitorowanie
- Niska jakość kodu
- Zdalne wykonanie kodu
- Obejście uwierzytelniania
- Wstępne ładowanie DLL
- Problemy z serializacją
- Przepełnienia bufora stosu/taśmy i nadpisania pamięci
- Użycie po Free
- Przetwarzanie podmiotów zewnętrznych XML w akcjach krytycznych
Zakres
W zakresie
Obecnie poszukujemy informacji zwrotnych na temat luk w zabezpieczeniach tylko dla obsługiwanych wersji następujących aplikacji i usług:
- Produkty Mastercam
Poza zakresem
- Zgłoszenia dotyczące CVE lub znanych luk w aplikacjach desktopowych i nieobsługiwanych wersjach będą klasyfikowane jako informacyjne, chyba że zostaną uznane za krytyczne lub o wysokim stopniu ważności. Zgłoszenia krytyczne i o wysokim stopniu ważności będą oceniane indywidualnie dla każdego przypadku.
- Raporty z automatycznych narzędzi lub skanów.
- Ujawnienia ścieżki wynikające z komunikatów o błędach.
- Strony osób trzecich (Strony, które odnoszą się do marki Mastercam, ale nie są własnością firmy, markowymi towarami itp.)
Luki w zabezpieczeniach wykraczające poza zakres
Zgłaszając luki w zabezpieczeniach, należy wziąć pod uwagę (1) scenariusz ataku / możliwość wykorzystania oraz (2) wpływ błędu na bezpieczeństwo. Następujące kwestie są uważane za wykraczające poza zakres:
- Ataki wymagające MITM lub fizycznego dostępu do urządzenia użytkownika.
- Wcześniej znane podatne na ataki biblioteki bez działającego Proof of Concept.
- Wszelkie działania, które mogą prowadzić do zakłócenia działania naszych usług (DoS).
Wyłączenia
Podczas wyszukiwania prosimy o powstrzymanie się od
- Odmowa usługi (w tym DoS, DDoS).
- Spamowanie.
- Inżynieria społeczna (w tym phishing) pracowników, wykonawców lub klientów Mastercam.
- Wszelkie fizyczne ataki na własność Mastercam lub centra danych.
Kwalifikowalność i zasady ujawniania informacji
- Po wykryciu potencjalnej luki w zabezpieczeniach poinformuj nas o tym jak najszybciej, a my dołożymy wszelkich starań, aby szybko rozwiązać ten problem.
- Dać nam rozsądny czas na rozwiązanie problemu przed ujawnieniem go opinii publicznej lub stronie trzeciej.
- Prosimy o dostarczenie szczegółowych raportów z powtarzalnymi krokami.
- Prześlij jedną lukę w zabezpieczeniach na raport, chyba że musisz połączyć luki w zabezpieczeniach, aby przedstawić ich wpływ.
Bezpieczna przystań
Kodeks postępowania HackerOne
Działania zgodne z niniejszą polityką i Kodeksem postępowania HackerOne będą uznawane za autoryzowane, a my nie będziemy podejmować działań prawnych przeciwko użytkownikowi. W przypadku wszczęcia przez stronę trzecią postępowania prawnego związanego z działaniami podjętymi w ramach niniejszej polityki, będziemy aktywnie pracować nad wykazaniem, że Twoje działania były zgodne z przepisami. Doceniamy Twoje wysiłki w zapewnieniu bezpieczeństwa Mastercam i naszych użytkowników.