协调漏洞披露政策

导言

在 Sonova，我们致力于确保我们产品及相关服务的安全性和弹性。我们理解，尽管我们付出了努力，但漏洞仍可能发生。我们鼓励所有人报告与我们的产品或其底层软件或基础设施相关的可疑漏洞或安全问题。这包括安全研究人员、客户和最终消费者、CERT（计算机应急响应小组）、行业团体、合作伙伴以及所有其他利益相关者。

在提交报告之前，请仔细阅读本政策，并确保您的行为符合其规定。

报告漏洞

如果您认为在我们的产品或相关服务中发现了潜在的安全漏洞，请尽快通过我们的客服部门向我们报告。

提交报告时，请遵循以下指南：

请提供有关潜在漏洞的详细信息，包括清晰的描述以及重现该问题的步骤。附件中提供了用于报告该问题的模板。
请避免采取任何可能损害我们产品、服务或数据机密性、完整性、可用性或安全性的行为。请勿造成任何实质性损害、篡改数据、滥用权限提升功能，或下载超出验证漏洞所需范围的数据。
在我们的调查完成并采取必要措施之前，请对您的发现内容予以保密。这有助于保护我们的用户，并确保安全问题得到妥善处理。
如您打算公开披露该漏洞，请提前告知我们。
请提供您的联系方式，例如电子邮箱地址或电话号码，以便我们与您联系并进行进一步调查。

我们的承诺

在收到安全漏洞报告后，索诺瓦承诺采取以下措施：

我们将向您发送收件确认，以确认已收到您的报告，并正在处理中。
我们的专业安全团队将对报告的漏洞进行彻底调查。我们可能会联系您以获取更多信息或澄清，以确保全面了解该漏洞。
我们根据报告漏洞的严重性和复杂性优先处理。我们的团队致力于采取必要措施，快速有效地解决和降低风险。
在整个过程中，我们将与您保持开放透明的沟通。我们将定期在关键阶段提供更新，让您了解我们调查和解决问题的进展。

除外责任

尽管我们鼓励报告发现的任何安全漏洞，但请注意，以下行为是严格禁止的：

对我们的基础设施使用侵入性或破坏性的自动化扫描。
访问、下载、修改或以其他方式干扰您不拥有或未获得明确授权进行交互的账户或系统中的数据。
实施故意扰乱、降低或威胁我们产品及相关服务或系统运行完整性的活动。
在我们解决之前公开披露已识别的漏洞。
对我们的员工、用户或基础设施进行任何形式的社会工程、网络钓鱼攻击或欺骗性行为。
对Sonova的资产进行物理安全攻击。

不在此计划范围内的漏洞

本漏洞披露计划侧重于与Sonova产品、其底层基础设施及相关服务相关的漏洞。因此，我们网站或面向公众的基础设施上的漏洞目前不在此计划范围内。

为了有效分配资源并专注于缓解具有重大影响的漏洞，我们将以下类别定义为本漏洞披露计划的范围之外。报告这些漏洞可能不会获得确认或修复措施：

自动化扫描工具或自动化分析产生的结果。
关于弱SSL/TLS加密算法和TLS设置中漏洞的观察，除非能证明存在针对我们环境的实际可利用风险。
缺少推荐的安全措施、实施已知存在漏洞的库或详细的错误消息，除非这些包含明确、可证明的利用途径。

法律声明 / 安全港

在Sonova，我们重视安全研究人员的贡献，并认可他们在增强我们产品安全性方面所做的努力。

如果您遵守我们的漏洞披露政策指南，您的行为将被视为已授权，我们不会对您提起法律诉讼。虽然我们支持负责任的安全研究，但请注意，您遵守本政策并不免除您遵守任何适用当地法律的义务。如果第三方因您在本政策下的活动而提起法律诉讼，请注意，尽管我们旨在澄清您遵守我们政策的性质，但我们无法代表您进行法律代理或直接干预。