Trellix 和 Skyhigh 安全/Security 对我们的产品、服务、业务应用程序和基础架构的安全进行深入的保护。
作为安全研究人员自己的 Trellix 和 Skyhigh 安全/Security 了解调查和响应安全问题的重要性。我们还意识到,尽管我们致力于消除我们的产品和服务中的安全漏洞,但总会存在一些新兴威胁、新漏洞和可改进的机会。为此,Trellix 和 Skyhigh 安全/Security 在发现安全问题并与安全研究人员合作以修复已确定的问题并补救任何相关的或基本的系统问题以进一步改进我们的安全状况时,相信 wholeheartedly 在获取公共研究社区。
在保护客户的兴趣方面,我们为公众研究社区提供参与、报告和接收其工作的机会。与我们合作时,我们会要求 reporters 遵守责任披露原则和流程,并为 Trellix 和 Skyhigh 安全/Security 提供评估、响应和必要时的机会,以在公开披露之前补救任何已确认的安全漏洞。
预期
根据此策略与我们合作时,您可能希望我们采取以下措施:
- 与您一起了解和验证您的报告,包括及时对提交的初始响应。
- 能够及时补救发现的漏洞。
- 如果您是第一个报告一个独特漏洞的情况,并且您的报告会触发代码或配置更改,则可以识别您改进我们的安全的贡献。
合规性
为保护我们的客户、员工和业务,我们要求安全研究人员保持与此策略的合规性。如果未经 Trellix 或 Skyhigh 安全/Security 明确书面同意,Trellix 或 Skyhigh 安全/Security 将提交视为不符合。此外,所有研究活动必须符合以下各项:
- 请勿对 Trellix 或 Skyhigh 安全/Security 产品进行信息检索,许可、拥有或运行 Trellix 或 Skyhigh 安全/Security 客户,而无需他们的快速许可。例如,如果您是 Trellix 或 Skyhigh 安全/Security 客户的员工,则不能使用您的雇主的 Trellix 或 Skyhigh 安全/Security 产品进行安全研究,而不会将其与您公司中的相关管理团队(例如 CISO 或安全/Security 副总裁)进行清除。
- 请勿对 Trellix 或 Skyhigh 安全/Security 员工、客户、合作伙伴或代表执行社会工程攻击。
- 请勿对任何人或实体执行物理安全攻击。
- 不要执行拒绝服务攻击。
基本规则
为鼓励漏洞研究并避免合法研究和恶意攻击之间出现任何混淆,我们要求您执行以下操作:
- 按规则播放。这包括以下政策和任何其他相关协议。
- 立即报告您发现的任何漏洞。
- 避免违反其他人的隐私,中断我们的系统或我们的客户或合作伙伴的隐私,销毁数据或损害用户体验。
- 仅使用 HackerOne 平台 向我们提交漏洞信息,并且仅使用由我们批准的通信方法,在提交后讨论漏洞信息。
- 将所有漏洞信息和与我们的讨论视为机密,并不会泄漏任何与第三方(非黑客)或公众的任何此类信息或通信。
- 仅在范围内的系统上执行测试,并遵循超出范围的系统和活动。
- 如果漏洞提供了对数据的非有意访问,请将您访问的数据量限制为有效地演示概念证明所需的最低数据量; 例如,如果您在测试期间遇到任何用户数据,例如个人身份信息、个人保健信息、信用卡数据或专有信息,则会停止测试并立即提交报告。
- 您应该只与您拥有的测试帐户或来自帐户持有人的显式权限进行交互。
- 请勿参与 extortion。
建议 Trellix 和 Skyhigh 安全/Security 客户使用
Trellix 和 Skyhigh 安全/Security 技术支持门户 来解决不存在漏洞的问题。
安全港
我们认为在此策略下进行的研究如下:
- 在查看任何适用的防黑客法律的情况下,我们不会根据您的意外、对此政策的善意行为进行有效的发动或支持。
- 有权查看相关的防 circumvention 法律,并且我们不会为您提供有关 circumvention 技术控制的声明。
- 在我们的许可协议中免除限制,以及任何会影响进行安全研究的任何可接受的使用策略,并且我们将在有限情况下免除这些限制,并要求您遵守此策略。
- 合法且,对 Internet 的整体安全性有帮助,因此非常有信心。
您应该始终遵守所有适用的法律。如果法律操作由第三方发起,并且您已使用此策略进行了评估,则我们会采取相应的步骤,以使其知道您的操作是否符合此策略。
我们已与 HackerOne 合作,以处理我们的产品和公共网站中的潜在安全或漏洞问题报告。您可以在
https://hackerone.com/Trellix访问该程序。
在报告中,请提供以下内容:
- 联系信息(所有交互都通过系统)
- 您发现的问题的摘要
- 重现的详细步骤,包括任何示例代码和屏幕截图/视频
- 产品漏洞
- 网站漏洞
产品或软件性能,或订购问题
请联系技术支持
提交病毒示例
KB68030-将示例提交给有可疑恶意软件检测失败的实验
提交用于分类的 URL 或质询
受信任的分类来源
安全/Security 公告
安全/Security 公告可在我们的知识中心上找到。
查看安全/Security 公告。
关于产品安全/Security 事件响应团队(PSIRT)
有关 PSIRT 的信息,请参阅
KB95564-关于产品安全/Security 事件响应团队(PSIRT)