كيفية الإبلاغ عن مشكلة أمنية

تأخذ ڤاردوت أمان منتجاتنا وإجراءاتنا على محمل الجد. نقوم بتثقيف موظفينا حول أفضل ممارسات الأمان وتشمل عملية التطوير لدينا ضمان الجودة مثل مراجعة الأقران، والمراجعات الأمنية، والتدقيق الأمني الآلي للمساعدة في ضمان جودة منتجاتنا وأمانها. ومع ذلك، مثل جميع منتجات البرامج المعقدة، من الممكن أن توجد ثغرة أمنية في أحد منتجاتنا.

إذا اكتشفت مشكلة أمان في منتج ڤاردوت أو خدمة مستضافة، فإننا نطلب منك إبلاغنا بها بشكل سري من أجل حماية أمان خدماتنا.

سيرد فريق الأمن في ڤاردوت لتأكيد استلام رسالتك، ومراجعة وتخفيف حدة المشكلة بشكل مناسب، بالإضافة إلى تحديد جدول زمني لإصدار أو تصحيح جديد. نحن نتبع الإفصاح المسؤول وسننسب الفضل إلى الباحثين عند تحديد مشكلة أمنية وتخفيفها أثناء الالتزام بالتفاصيل التالية.

• لا يجوز لك استخدام الأدوات الآلية في بحثك دون موافقتنا الصريحة. قد يؤدي استخدام الأدوات الآلية إلى إجراء تحقيق أو حظر عنوان (عناوين) IP الخاص بك.
• أن تبذل جهدًا بحسن نية لتجنب انتهاكات الخصوصية وتدمير البيانات وانقطاع الخدمة أو تدهورها أثناء البحث.
• أن تمنحنا الوقت الكافي للرد على تقريرك وتنفيذ العلاج.
• نحن نشكر الباحث الأول الذي أبلغ عن مشكلة. بالإضافة إلى ذلك  نحتفظ بالحق في الاعتراف فقط بالباحثين الذين يكتشفون المشكلات في منتجات ڤاردوت أو الخدمات المستضافة، إذا قررنا أن المشكلة شديدة الخطورة أو حرجة، أو إذا كان هناك تواصل مستمر أو مساهمات قدمها المراسل.
• سنضيف لك اسمك ورابط "عدم المتابعة" إلى العنوان الذي تختاره (مثل تويتر أو موقع الويب الشخصي).
• نحن لسنا مهتمين بالتقارير حول القضايا التالية:
  • CSRF في النماذج المتاحة للاستخدام المجهول للمستخدم (مثل نموذج الاتصال)
  • عرض "لافتات" برنامج الخادم أو معلومات الإصدار
  • المشكلات التي يتم معالجتها في قوائم انتظار المشكلات العامة لأي من مشاريع OSS قيد الاستخدام
  • النقر فوق النقرات على نطاقات vardot.com التي لا تتضمن حسابات مستخدم مصادق عليها
• لن نرفع أي دعوى قضائية أو نبدأ التحقيق في تطبيق القانون عليك إذا اتبعت هذه المعايير.

ما التفاصيل التي يجب عليك تضمينها عند الإبلاغ عن مشكلة أمنية

يرجى تقديم أكبر قدر ممكن من التفاصيل ذات الصلة. خاصه:

• ما هي إصدارات البرنامج المعنية
• ما هي الخطوات التي يمكن لشخص ما اتباعها للانتقال من التثبيت الأولي لهذا البرنامج إلى نقطة يرى فيها الثغرة الأمنية
• أي تصحيحات أو خطوات للتخفيف من المشكلة

ماذا لو كانت المشكلة في بعض البرامج الأخرى؟

تعتمد ڤاردوت على برامج مفتوحة المصدر مثل Drupal و Varnish و memcache و nginx و Apache و MySQL وغيرها الكثير. إذا حددت ثغرة في أحد منتجاتنا موجودة بالفعل في البرنامج الأساسي، فيمكنك الإبلاغ عن المشكلة لنا ولكن يمكنك أيضًا الإبلاغ عنها إلى فريق الأمان لهذا المشروع. لدروبال انظر كيفية الإبلاغ عن مشكلة أمنية في دروبال. إذا أبلغت ڤاردوت عن مشكلة وكانت المشكلة تتعلق بمنتج آخر، فسنقوم أيضًا بالاتصال والتنسيق مع فريقهم قبل إجراء أي إصدار.