服务支持

20多年来始终专注于照明产品的开发和销售

漏洞披露政策

# 简介 
(杭州天都照明电器有限公司(杭州天都照明创建于 1993 年,前身为杭州电力节能灯厂,1998 年正式更名为杭州天都照明电器有限公司。20 多年来,该公司一直专注于照明产品的开发和销售。) 
本漏洞披露政策适用于您考虑向我们(“组织”)报告的任何漏洞。我们建议您在报告漏洞之前充分阅读本漏洞披露政策,并始终按照本政策行事。
我们非常重视那些花时间和精力按照本政策报告安全漏洞的人。但是,我们不会为漏洞披露提供金钱奖励。
# 报告
如果您认为自己发现了安全漏洞,请使用以下邮箱:service@sky-lighting.com 向我们提交报告
在您的报告中请包括
漏洞详情:
- 可观察到漏洞的资产(网址、IP 地址、产品或服务名称
- 弱点(如 CWE)(可选)
- 严重性(如 CVSS v3.0)(可选)
- 漏洞标题(必填)
- 漏洞描述(应包括摘要、支持文件和可能的缓解措施或建议)(必须填写)
- 影响
- 重现步骤。这些应是良性、非破坏性的概念验证。这有助于确保快速、准确地对报告进行分流。这还能减少重复报告或恶意利用某些漏洞(如子域名接管)的可能性。
可选联系方式:
- 姓名
- 电子邮件地址
# 我们的期待
在您提交报告后,我们将在 5 个工作日内回复您的报告,并争取在 10 个工作日内对您的报告进行分流。我们还将随时向您通报进展情况。
我们会根据影响、严重程度和漏洞利用的复杂性来评估修复的优先级。漏洞报告的分流或处理可能需要一些时间。我们欢迎您查询状态,但应避免每 14 天查询一次以上。这样我们的团队就可以专注于修复工作。
当报告的漏洞得到修复时,我们将通知您,并可能邀请您确认解决方案是否充分覆盖了漏洞。
一旦您的漏洞得到解决,我们欢迎要求公开您的报告。我们希望向受影响的用户提供统一的指导,因此请继续与我们协调公开发布事宜。
# 指导意见
切勿:
- 违反任何适用法律或法规
- 访问不必要的、过多的或大量的数据
- 修改本组织系统或服务中的数据
- 使用高强度侵入性或破坏性扫描工具查找漏洞
- 尝试或报告任何形式的拒绝服务,例如,用大量请求压倒服务
- 破坏组织的服务或系统