漏洞披露政策
简介
仲量联行致力于与客户合作,了解企业房地产领域更加光明的未来。这包括保护公司系统及客户与合作伙伴委托的数据。本政策旨在为安全研究人员开展漏洞发现活动提供明确指南,并传达我们在提交已发现漏洞方式上的偏好。
请注意,仲量联行不实行漏洞奖励计划。通过提交漏洞,即表示您承认您不期望收到付款,明确放弃今后对仲量联行提出任何与提交漏洞有关的付款要求。
本政策描述了该政策涵盖的系统和研究类型、如何向我们发送漏洞报告,以及我们要求安全研究人员在公开披露漏洞之前等待的时长。
我们鼓励您与我们联系,报告系统中存在的潜在漏洞。
授权
如果您在安全研究期间严格遵守本政策,我们认为您的研究已获授权,并将与您一起了解并迅速解决问题,仲量联行不会建议或采取与您研究相关的法律行动。若第三方因您根据本政策开展的活动而提起法律诉讼,我们将公布此授权。
指南
根据本政策,“研究”指以下情况中开展的活动:
- 发现实际或潜在安全问题后尽快通知我们。
- 尽全力避免侵犯隐私、降低用户体验、干扰生产系统及破坏或控制数据。
- 仅在必要范围内使用漏洞,以确认漏洞的存在。不使用漏洞来危害或泄漏数据,创建持久的命令行访问权限,或使用漏洞将数据转移到其他系统。
- 在公开披露之前,为我们留足时间来解决问题。
- 不提交大量劣质报告。
一旦确定存在漏洞或遇到任何敏感数据(包括任何一方的个人身份信息、财务信息、专有信息或商业机密),务必停止测试,立即通知我们,且不得将此数据透露给其他人。
测试方法
以下测试方法未经授权:
- 网络拒绝服务(DoS 或 DDoS)测试或其他妨碍访问或损坏系统或数据的测试。
- 物理测试(例如办公室访问、开门、尾随)、社会工程(例如网络诱骗、网络钓鱼)或任何其他非技术漏洞测试。
范围
本政策仅适用于仲联量行独有并管理的系统和服务。
连接服务等以上未明确列出的服务均不在范围内,也未授权进行测试。此外,在供应商系统中发现的漏洞不在本政策范围内,应根据其披露政策(如有)直接报告给供应商。如果不确定某个系统是否在范围内,请通过 vulndisclosure@jll.com 联系我们。
尽管我们可能会协助开发和维护其他可通过互联网访问的系统或服务,但我们要求仅对本政策范围内的系统和服务进行积极的研究和测试。对于一个不在范围内的特定系统,如果您认为其值得进行测试,请在测试之前与我们联系以进行讨论。我们将逐步评估本政策的范围。
依据本政策提交的信息将仅用于防御目的,即减少或补救漏洞。如果您的调查结果包含新发现的漏洞,其不仅影响仲量联行,还影响产品或服务的所有用户,我们可能会与网络安全与基础设施安全局 (Cybersecurity and Infrastructure Security Agency) 共享您的报告,该报告将根据其协调的漏洞披露流程进行处理。未经明确许可,我们不会共享您的姓名或联系信息。
我们通过 vulndisclosure@jll.com 接受漏洞报告。报告可以匿名提交。如果您分享了联系信息,我们将在 3 个工作日内确认收到了您的报告。
我们不支持 PGP 加密电子邮件。
我们期待从您身上看到什么
为了帮助我们对提交的内容进行分类和优先排序,我们建议您的报告:
- 描述发现漏洞的位置及其潜在影响。
- 提供重现漏洞所需步骤的详细说明(概念验证脚本或屏幕截图很有帮助)。
- 如有可能,请使用英语。
您对我们的期望
在您选择与我们分享个人联系信息后,我们承诺尽可能公开迅速地与您协调。
- 我们将在 3 个工作日内确认收到了您的报告。
- 我们将尽全力向您确认是否存在漏洞,并尽可能以透明的方式说明我们在补救过程中采取的措施,包括可能造成解决延迟的问题或挑战。
- 我们将保持进行公开对话来讨论问题。
问题
如对该政策有疑问,敬请联系 vulndisclosure@jll.com。同时也欢迎您联系我们,提出改善该政策的相关建议。