协调漏洞披露政策

引言

在索诺瓦，我们致力于确保产品及相关服务的安全性和韧性。我们深知，尽管我们已竭尽全力，但系统中仍可能存在漏洞。我们鼓励所有人报告与我们的产品、其底层软件或基础设施相关的疑似漏洞或安全隐患。这包括安全研究人员、客户和终端用户、计算机应急响应小组（CERT）、行业组织、合作伙伴以及所有其他利益相关方。

在提交报告之前，请仔细阅读本政策，并确保您的行为符合其规定。

报告漏洞

如果您认为在我们的产品或相关服务中发现了潜在的安全漏洞，请尽快通过我们的客服部门向我们报告。

提交报告时，请遵循以下指南：

请提供有关潜在漏洞的详细信息，包括清晰的描述以及重现该问题的步骤。附件中提供了用于报告该问题的模板。
请避免采取任何可能损害我们产品、服务或数据机密性、完整性、可用性或安全性的行为。请勿造成任何实质性损害、篡改数据、滥用权限提升功能，或下载超出验证漏洞所需范围的数据。
在我们的调查完成并采取必要措施之前，请对您的发现内容予以保密。这有助于保护我们的用户，并确保安全问题得到妥善处理。
如您打算公开披露该漏洞，请提前告知我们。
请提供您的联系方式，例如电子邮箱地址或电话号码，以便我们与您联系并进行进一步调查。

我们的承诺

在收到安全漏洞报告后，索诺瓦承诺采取以下措施：

我们将向您发送收件确认，以确认已收到您的报告，并正在处理中。
我们的专业安全团队将对您报告的漏洞进行彻底调查。为了全面了解该漏洞，我们可能会联系您以获取更多信息或进行澄清。
我们会根据漏洞的严重程度和复杂性，优先处理已报告的漏洞。我们的团队致力于采取必要措施，快速有效地应对和降低风险。
在整个过程中，我们将与您保持开放、透明的沟通。我们会随时向您通报调查和解决该问题的进展，并在关键阶段定期提供更新。

除外条款

虽然我们鼓励大家报告发现的任何安全漏洞，但请注意，以下行为是被严格禁止的：

对我们的基础设施进行侵入性或破坏性的自动化扫描。
访问、下载、修改或以其他方式干扰您不拥有或未获得明确授权的账户或系统中的数据。
从事旨在破坏、损害或威胁本公司产品及相关服务或系统运行完整性的活动。
在问题解决之前，向公众披露已发现的漏洞。
针对我们的员工、用户或基础设施实施任何形式的社会工程学、网络钓鱼攻击或欺骗行为。
对索诺瓦的资产实施物理安全攻击。

本计划不涵盖的漏洞

本漏洞披露计划主要针对与索诺瓦（Sonova）产品、其底层基础设施及相关服务相关的漏洞。因此，目前本计划不涵盖我们网站或面向公众的基础设施上的漏洞。

为了实现资源的有效配置，并重点解决影响重大的漏洞，我们规定以下类别不属于本漏洞披露计划的范围。报告此类漏洞可能不会得到确认或采取修复措施：

由自动化扫描工具或自动化分析生成的提交内容。
关于弱SSL/TLS加密算法及TLS配置中存在的安全漏洞的观察，除非能证明存在针对我们环境的、可被实际利用的具体风险。
未采取建议的安全措施、使用了存在已知漏洞的库，或未提供详细的错误信息（除非这些信息包含明确且可验证的利用路径）。

法律声明 / 安全港条款

在索诺瓦，我们重视安全研究人员的贡献，并认可他们在提升我们产品安全性方面所做努力的重要性。

如果您遵守我们漏洞披露政策的指导原则，您的行为将被视为经授权的行为，我们不会对您采取法律行动。虽然我们支持负责任的安全研究，但请注意，遵守本政策并不免除您遵守任何适用的当地法律的义务。如果第三方就您根据本政策开展的活动提起法律诉讼，请注意：虽然我们会尽力阐明您遵守本政策的性质，但我们无法为您提供法律代理或直接干预。