Policy för offentliggörande av sårbarheter

1. Inledning

Cleva policy för rapportering Cleva uppmuntrar säkerhetsforskare och allmänheten att lämna feedback och delta i ansvarsfull forskning och rapportering av säkerhetsbrister. Om du tror att du har upptäckt säkerhetsbrister, exponerade data eller andra säkerhetsproblem uppmanar vi dig att kontakta oss. Denna policy beskriver stegen för att rapportera säkerhetsbrister till oss och förklarar Cleva policy för att identifiera och rapportera potentiella säkerhetsbrister.

2. Definition

• Sekretessfönster: Om vi accepterar din sårbarhetsrapport är vårt mål att slutföra reparationsarbetet och släppa reparationsprogrammet inom 90 dagar efter den initiala bekräftelsen. Om ytterligare information behövs för att bekräfta sårbarheten kommer vi att kontakta dig. Om vi inte har fått något svar efter tre försök kan vi stänga ärendet, men vi välkomnar fortsatt rapportering av sårbarheter i framtiden.

• Vi: I denna policy avser "vi" Cleva omfattar vårt varumärke.

• Rapportera en sårbarhet: Vänligen rapportera sårbarheter till Cleva e-post: cleva

• Officiell informationskanal: kommunikationskanal för offentliggörande av sårbarheter: cleva

3. Metod för rapportering av sårbarheter

Om du upptäcker säkerhetsproblem när du testar eller använder Cleva eller tjänster, vänligen skicka detaljerad information om dina upptäckter via e-post till vår officiella rapporteringskanal (cleva). Rapportering via andra kanaler kan leda till fördröjda svar eller försummelse.

Om möjligt, vänligen inkludera följande information i sårbarhetsrapporten:

• Specifika produkter eller tjänster som berörs, inklusive relevanta versionsnummer.

• Detaljerad information om problemets inverkan; all information som hjälper till att återskapa eller diagnostisera problemet.

• Om du tror att sårbarheten har offentliggjorts eller är känd för en tredje part.

4. Vårt åtagande

När du arbetar med oss och i enlighet med denna policy:

1. Vi erbjuder för närvarande inte och deltar inte i Permanent Vulnerability Bounty Program. Vi accepterar inte belöningar, reklammaterial eller kreditförfrågningar utanför processen för säkerhetsmeddelanden.

2. Vi kommer preliminärt att bekräfta och tillhandahålla ett spårningsnummer inom 5 arbetsdagar efter att vi har mottagit din sårbarhetsrapport.

3. Vi skickar en bekräftelse på att vi har tagit emot rapporten om sårbarheten inom 30 dagar efter den första bekräftelsen, med ett förslag på deadline för åtgärdandet. Om vi inte accepterar rapporten anger vi våra skäl och är öppna för ny information om rapporten.

När de rapporterade sårbarheterna har bekräftats kommer våra tekniker att arbeta med att ta fram lämpliga korrigeringar.

Om det finns sårbarheter som inte kan lösas inom 90 dagar kommer vi att samarbeta med dig för att förlänga sekretessperioden eller ge andra förslag. Lösningstiden kan påverkas av:

• Tidsramen för uppströmsleverantörer skiljer sig från vår.

• Om ett betydande antal arkitektoniska förändringar krävs för att åtgärda denna sårbarhet.

• Komplexa eller utökade verifieringskrav till följd av mindre ändringar i firmware.

Vi utfärdar självständigt säkerhetsmeddelanden för att ge viktig säkerhetsinformation till våra kunder och allmänheten. Om något av följande villkor är uppfyllt uppmanar vi dig att upptäcka och rapportera sårbarheter relaterade till våra säkerhetsmeddelanden eller CVE:er (Common Vulnerabilities and Exposures):

• Den rapporterade sårbarheten påverkar Cleva som för närvarande stöds.

• Vi gör kod- eller konfigurationsändringar som ett resultat av problemet.

• Du är den första som rapporterar denna sårbarhet.

• Din forskning överensstämmer med vår policy för ansvarsfull informationsdelning, och

• Du samtycker till att bekräfta resultaten som en del av rapporteringsprocessen.

Följande modeller stöds av programuppdateringar fram till den 31 december 2035:

• VBRM18AMIDR, VBRM18AMID2R, VBRM18AMID4R, VBRM18AMID8R

• AMD18, AMD18i2, AMD18P2, AMD18i4, AMD18P4, AMD18i8, AMD18P8

• AMB18, AMB18i2, AMB18P2, AMB18i4, AMB18P4, AMB18i8, AMB18P8

• AMD16, AMD16i2, AMD16P2, AMD16i4, AMD16P4

• AMB16, AMB16i2, AMB16P2, AMB16i4, AMB16P4

• AMD18B, AMD18i2B, AMD18P2B, AMD18i4B, AMD18P4B, AMD18i8B, AMD18P8B

• AMB18B, AMB18i2B, AMB18P2B, AMB18i4B, AMB18P4B, AMB18i8B, AMB18P8B

• AMD16B, AMD16i2B, AMD16P2B, AMD16i4B, AMD16P4B

• AMB16B, AMB16i2B, AMB16P2B, AMB16i4B, AMB16P4B

• AMD18C, AMD18i2C, AMD18P2C, AMD18i4C, AMD18P4C, AMD18i8C, AMD18P8C

• AMB18C, AMB18i2C, AMB18P2C, AMB18i4C, AMB18P4C, AMB18i8C, AMB18P8C

• AMD16C, AMD16i2C, AMD16P2C, AMD16i4C, AMD16P4C

• AMB16C, AMB16i2C, AMB16P2C, AMB16i4C, AMB16P4C

• AMD18D, AMD18i2D, AMD18P2D, AMD18i4D, AMD18P4D, AMD18i8D, AMD18P8D

• AMB18D, AMB18i2D, AMB18P2D, AMB18i4D, AMB18P4D, AMB18i8D, AMB18P8D

• AMD16D, AMD16i2D, AMD16P2D, AMD16i4D, AMD16P4D

• AMB16D, AMB16i2D, AMB16P2D, AMB16i4D, AMB16P4D

• AMD18E, AMD18i2E, AMD18P2E, AMD18i4E, AMD18P4E, AMD18i8E, AMD18P8E

• AMB18E, AMB18i2E, AMB18P2E, AMB18i4E, AMB18P4E, AMB18i8E, AMB18P8E

• AMD16E, AMD16i2E, AMD16P2E, AMD16i4E, AMD16P4E

• AMB16E, AMB16i2E, AMB16P2E, AMB16i4E, AMB16P4E

• AMD18F, AMD18i2F, AMD18P2F, AMD18i4F, AMD18P4F, AMD18i8F, AMD18P8F

• AMB18F, AMB18i2F, AMB18P2F, AMB18i4F, AMB18P4F, AMB18i8F, AMB18P8F

• AMD16F, AMD16i2F, AMD16P2F, AMD16i4F, AMD16P4F

• AMB16F, AMB16i2F, AMB16P2F, AMB16i4F, AMB16P4F

• AMD18G, AMD18i2G, AMD18P2G, AMD18i4G, AMD18P4G, AMD18i8G, AMD18P8G

• AMB18G, AMB18i2G, AMB18P2G, AMB18i4G, AMB18P4G, AMB18i8G, AMB18P8G

• AMD16G, AMD16i2G, AMD16P2G, AMD16i4G, AMD16P4G

• AMB16G, AMB16i2G, AMB16P2G, AMB16i4G, AMB16P4G

Modellerna ovan är basmodeller och visas utan suffix. Basmodeller kan ha suffixet Plus/Max/Pro/3D/3DPro/3D-Pro/Ultra/SE, som kan säljas i olika försäljningsregioner. Modeller som innehåller "18" tillhör samma serie, och modeller som innehåller "16" representerar också produkter i samma serie.

5. Våra förväntningar

När du deltar i vårt program för rapportering av sårbarheter måste du läsa, förstå och godkänna vår policy för rapportering av sårbarheter, inklusive alla villkor. Efterlevnad av denna policy är obligatorisk.

Om du inte samtycker till policyn eller dess villkor, vänligen avbryt ditt deltagande. Vi kommer inte att tillhandahålla relaterade tjänster till personer som inte accepterar villkoren.

Genom att fortsätta delta bekräftar du att du fullständigt förstår och accepterar alla tillämpliga policyer och villkor som beskrivs nedan.

1). Efterlevnad

• Du måste följa denna policy och alla andra tillämpliga avtal.

• I händelse av konflikt mellan denna policy och andra villkor har denna policy företräde.

2). Tidig och ansvarsfull informationsgivning

• Rapportera sårbarheter så snart de upptäcks.

• Dela inte information om sårbarheter med någon utanför Cleva du skickar in din rapport.

3). Hantering av känsliga uppgifter

• Om du under testningen får tillgång till Clevaföretagshemligheter, kunddata, medarbetardata eller annan känslig affärsrelaterad information, vare sig det är avsiktligt eller oavsiktligt, måste du:

  • Använd, lagra, dela eller registrera inte denna information i någon form.

  • Dokumentera sådan åtkomst tydligt i din sårbarhetsrapport.

4). Ansvarsfull testning

• Under säkerhetstestningen måste du undvika följande:

  • Kränkande av användarnas integritet.

  • Avbryta produktionssystem.

  • Försämrad användarupplevelse.

  • Orsaka dataförlust eller dataintrång.

• Specifikt får du inte:

  • Utför destruktiva tester (såsom Denial of Service).

  • Få tillgång till eller ändra obehöriga data.

  • Attackera Cleva , tillgångar, datacenter, partners eller dotterbolag.

  • Använd social manipulation eller förvräng din identitet eller auktoritet.

  • Bryta mot gällande lagar eller avtal för att upptäcka luckor.

  • Genomföra forskning om produkter/tjänster utanför deras stödda säkerhetslivscykel.

5). Rapportering och licensiering

• Skicka alla säkerhetsrapporter uteslutande via Cleva officiella process för rapportering av sårbarheter.

• Genom att skicka in en rapport ger du Cleva världsomspännande, evig, royaltyfri, icke-exklusiv licens att använda din rapport för att förbättra våra produkter och tjänster.

6. Sekretess

• Offentliggör inte någon sårbarhet förrän Cleva löst problemet och publicerat ett officiellt säkerhetsmeddelande.

• Du måste inhämta skriftligt tillstånd från Cleva du delar information om sårbarheter externt.

7. Datatillgång och användarskydd

• Om en sårbarhet möjliggör åtkomst till data, begränsa åtkomsten strikt till vad som är nödvändigt för verifiering.

• Om du stöter på känslig information (såsom personligt identifierbar information (PII), personlig hälsoinformation (PHI), betalningsuppgifter eller konfidentiell information), avbryt omedelbart testningen och rapportera incidenten till Cleva.

• Interagera endast med testkonton som du äger eller för vilka du har uttryckligt tillstånd från kontoinnehavaren.