一、总则
本政策旨在规范安全研究人员、用户及其他第三方(以下统称 “披露者”)发现并报告我方产品、服务或系统中安全漏洞的行为,平衡漏洞披露的安全性与透明度,共同提升我方网络安全防护能力,保护用户数据与系统安全。
本政策适用于我方所有产品、服务、网站、系统及相关基础设施(以下统称 “资产”),涵盖但不限于网页应用、移动应用、服务器、网络设备等。
安全漏洞:指可能导致未经授权访问、数据泄露、服务中断、权限提升等安全风险的设计缺陷、代码错误或配置问题。
披露者应提供以下信息以便我方处理:
漏洞所在的资产(如网址、应用名称及版本);
漏洞类型及详细描述;
复现步骤(含必要的工具、账号、环境等);
漏洞影响范围及可能造成的危害;
披露者的联系方式(如姓名、邮箱)。
披露者在测试过程中需遵守以下规定:
不得未经授权访问、收集、泄露用户数据(包括个人信息、账号密码等);
不得破坏系统功能、篡改数据或导致服务中断;
不得利用漏洞进行攻击、传播恶意软件或谋取私利;
测试范围仅限我方公开的资产,不得涉及第三方系统。
我方在收到漏洞报告后,将在 3 个工作日内 进行初步审核,确认是否为有效漏洞并向披露者反馈。
对于有效漏洞,我方将评估其严重程度(如低、中、高、紧急),并在 相应时间内 制定修复方案(紧急漏洞 24 小时内,高危漏洞 7 天内,中低危漏洞 30 天内);
修复完成后,我方会对漏洞进行验证,确认问题已解决。
漏洞修复后,我方将在 5 个工作日内 向披露者反馈处理结果;
经双方协商一致,我方可能在修复完成后公开漏洞信息(隐去披露者隐私及敏感技术细节)。
我方对合规报告漏洞的披露者予以感谢,对于重大漏洞可能提供奖励(具体标准另行说明);
披露者的合法测试行为受本政策保护,我方不会因其善意报告漏洞而采取法律行动。
披露者在报告漏洞后,应遵守 “负责任披露” 原则,在我方完成修复前不得向第三方泄露漏洞细节;
若因披露者违规测试或泄露漏洞导致损失,我方保留追究其法律责任的权利。
本政策未尽事宜,由我方与披露者协商解决;
我方有权根据实际情况修订本政策,修订后将通过官方渠道官网公示;
漏洞报告接收邮箱:psirt@loostone.com,如有疑问可发送邮件咨询。
上海炉石信息科技有限公司
发布日期:2025 年 07月 29 日