产品安全与电信基础设施法(PSTI)英国漏洞披露政策
外部发布政策
引言
BENTON 致力于通过保护客户信息来确保 BENTON 客户的安全。本政策旨在为 BENTON 客户提供明确的漏洞发现活动指南,并传达我们在如何提交已发现漏洞方面的偏好。
本政策描述了哪些系统和研究类型涵盖在本政策之内,如何向我们提交漏洞报告,以及我们要求安全研究人员在公开披露漏洞之前等待的时间。
我们鼓励您与我们联系,报告我们系统中的潜在漏洞。
指南
根据本政策,"研究" 是指您进行的活动,具体包括:
在发现真实或潜在的安全问题后,尽快通知 BENTON。
尽一切努力避免侵犯隐私、降低用户体验、破坏生产系统以及破坏或篡改数据。
仅在确认漏洞存在时使用漏洞利用工具。不要使用漏洞工具来妥协或外泄数据,建立持续的命令行访问,或
利用漏洞进行横向渗透至其它系统。
在公开披露漏洞之前,给予 BENTON 合理的时间来解决该问题。
不要提交大量低质量的报告。
一旦 BENTON 客户确认存在漏洞或遇到任何敏感数据(包括个人可识别信息、财务信息或任何方的专有信息或商业机密),BENTON 客户必须立即停止测试,立即通知 BENTON,并且不得将该数据透露给任何其他人。
范围
本漏洞披露政策适用于在英国市场上销售的、符合 PSTI 法规合规声明的、联网的产品。
以下测试方法未被授权用于漏洞测试:
网络拒绝服务攻击