Vulnerability Disclosure Policy
Ubuntu Software cam kết đảm bảo an ninh cho các sản phẩm và dịch vụ của chúng tôi. Chúng tôi hoan nghênh các báo cáo từ các nhà nghiên cứu an ninh phát hiện ra các lỗ hổng tiềm ẩn.
Cảng an toàn
Chúng tôi coi nghiên cứu bảo mật được thực hiện theo chính sách này là:
- Được ủy quyền — Chúng tôi sẽ không khởi kiện bạn
- Hữu ích — Chúng tôi đánh giá cao sự đóng góp của bạn trong việc nâng cao an ninh của chúng tôi
- Bảo vệ — Chúng tôi sẽ hợp tác với bạn để hiểu rõ và giải quyết vấn đề
Nếu bạn nỗ lực thành thật tuân thủ chính sách này trong quá trình nghiên cứu của mình, chúng tôi sẽ không khởi kiện hoặc đề nghị khởi kiện bạn.
Phạm vi
Chính sách này áp dụng cho tất cả các sản phẩm và dịch vụ của Ubuntu Software:
| In Scope | Examples |
|---|---|
| Website | www.ubuntusoftware.net |
| Publish Platform | Publishing and design tools |
| Spatial Platform | Robotics and simulation |
| APIs | Public API endpoints |
| Open Source | Our public repositories |
Các hoạt động bị cấm
Để bảo vệ người dùng và hệ thống của chúng tôi, vui lòng không thực hiện các hành động sau:
- Tấn công từ chối dịch vụ
- Thao túng tâm lý nhân viên hoặc nhà thầu
- Các nỗ lực truy cập vật lý
- Truy cập hoặc sửa đổi dữ liệu thuộc sở hữu của người dùng khác
- Quét lỗ hổng bảo mật tự động gây gián đoạn dịch vụ
- Công bố công khai trước khi chúng tôi có thời gian để phản hồi
Cách báo cáo
Use our Contact Form to submit your report.
Vui lòng bao gồm:
- Mô tả — Lỗ hổng bảo mật là gì?
- Vị trí — Bạn đã tìm thấy nó ở đâu? (URL, thành phần, phiên bản)
- Tác động — Kẻ tấn công có thể làm gì với điều này?
- Các bước — Làm thế nào để chúng ta có thể tái hiện lại nó?
- *Chứng minh khái niệm — Ảnh chụp màn hình, mã nguồn hoặc nhật ký (nếu có sẵn)
Bạn có thể báo cáo ẩn danh. Chúng tôi không yêu cầu thông tin cá nhân.
Cam kết của chúng tôi
| Action | Timeline |
|---|---|
| Acknowledge receipt | Within 3 business days |
| Initial assessment | Within 10 business days |
| Status updates | Every 30 days until resolved |
| Target resolution | 90 days (industry standard) |
Chúng tôi sẽ thông báo cho quý khách về tiến độ công việc và sẽ thông báo cho quý khách khi vấn đề được khắc phục.
Nhận diện
We believe in thanking researchers who help us improve security. Valid reports are recognized on our Security Acknowledgments page.
Hiện tại, chúng tôi không cung cấp phần thưởng tiền mặt, nhưng chúng tôi rất biết ơn sự đóng góp của bạn trong việc giúp sản phẩm của chúng tôi trở nên an toàn hơn.
Có câu hỏi nào không?
Để hỏi về chính sách này hoặc làm rõ phạm vi áp dụng:
Chính sách có thể đọc được bằng máy
Security researchers can find our security.txt file at the standard location per RFC 9116.