Blueair 脆弱性披露政策

1。简介

BlueAir 致力于保护客户，用户和公司的安全性。如果您认为自己已经在我们的一个网站，连接的设备或软件中确定了安全问题或漏洞（“Blueair 产品”），我们感谢您尽快报告。

当正确通知合法问题时，我们将尽最大努力确认您的脆弱性报告，分配资源来调查该问题，并尽快解决潜在问题。您是否是用户 Blueair 产品，软件开发人员或仅仅是安全爱好者，您是此过程的重要组成部分。

2。报告安全问题或漏洞

如果您认为自己已经找到了安全问题或漏洞，请通过将电子邮件发送到 infosec@blueair.com 主题行“安全问题”。

请提供您认为受到影响的特定产品和软件版本；您观察到的行为和您期望的行为的技术描述；复制该问题所需的步骤；并且，如果适用，则是概念证明或利用证明。

在所有情况下，您都必须：

• 尊重我们的隐私。如果您访问其他任何人的数据，请立即与我们联系。这包括用户名，密码和其他凭据。您不得保存，存储或传输此信息。
• 真诚地行事。您应该在没有任何条件的情况下向我们报告脆弱性。
• 与我们一起工作。迅速向我们报告任何发现，在找到第一个漏洞并要求继续测试后停止。在公开披露它之前，让我们有合理的时间来解决漏洞。

而且您不能：

• 渗透数据。而是使用概念证明来证明漏洞。
• 利用禁用进一步安全控制的脆弱性。
• 执行社会工程。
• 使用自动扫描仪。

我们不提供财务补偿或提交任何其他形式的奖励。另外，我们不会退还您可能产生的任何费用。

5。响应和分辨率

我们致力于在3个工作日内确认您的报告收到的收到。我们的安全团队将及时调查报告的问题，并向您了解进度。

验证问题后，我们将致力于解决问题。感谢您在此过程中的耐心与合作。

6。法律保护

该政策旨在与安全研究人员之间的良好实践兼容。它没有允许您以任何与法律不一致或可能导致的方式行事 Blueair 违反其任何法律义务，包括但不限于：

• 1990年《计算机滥用法》
• 2016/679（GDPR）和《 2018年数据保护法》的一般数据保护条例

与其法律义务兼容的范围 Blueair 不会采取民事诉讼反对或寻求起诉安全研究人员 Blueair 研究人员真诚地行事并按照本披露政策的行为。

8。违反政策

严格禁止在不遵循此披露过程的情况下开发安全漏洞的任何尝试，并可能采取法律行动。

9。策略更新

该策略可能会不时更新。定期检查此页面以获取最新信息。

感谢您帮助我们维护物联网设备/产品的安全性。