Blueair 脆弱性披露政策

1。簡介

BlueAir 致力於保護客戶，用戶和公司的安全性。如果您認為自己已經在我們的一個網站，連接的設備或軟件中確定了安全問題或漏洞（“Blueair 產品”），我們感謝您盡快報告。

當正確通知合法問題時，我們將盡最大努力確認您的脆弱性報告，分配資源來調查該問題，並儘快解決潛在問題。您是否是用戶 Blueair 產品，軟件開發人員或僅僅是安全愛好者，您是此過程的重要組成部分。

2。報告安全問題或漏洞

如果您認為自己已經找到了安全問題或漏洞，請通過將電子郵件發送到 infosec@blueair.com 主題行“安全問題”。

請提供您認為受到影響的特定產品和軟件版本；您觀察到的行為和您期望的行為的技術描述；複製該問題所需的步驟；並且，如果適用，則是概念證明或利用證明。

在所有情況下，您都必須：

• 尊重我們的隱私。如果您訪問其他任何人的數據，請立即與我們聯繫。這包括用戶名，密碼和其他憑據。您不得保存，存儲或傳輸此信息。
• 真誠地行事。您應該在沒有任何條件的情況下向我們報告脆弱性。
• 與我們一起工作。迅速向我們報告任何發現，在找到第一個漏洞並要求繼續測試後停止。在公開披露它之前，讓我們有合理的時間來解決漏洞。

而且您不能：

• 滲透數據。而是使用概念證明來證明漏洞。
• 利用禁用進一步安全控制的脆弱性。
• 執行社會工程。
• 使用自動掃描儀。

我們不提供財務補償或提交任何其他形式的獎勵。另外，我們不會退還您可能產生的任何費用。

5。響應和分辨率

我們致力於在3個工作日內確認您的報告收到的收到。我們的安全團隊將及時調查報告的問題，並向您了解進度。

驗證問題後，我們將致力於解決問題。感謝您在此過程中的耐心與合作。

6。法律保護

該政策旨在與安全研究人員之間的良好實踐兼容。它沒有允許您以任何與法律不一致或可能導致的方式行事 Blueair 違反其任何法律義務，包括但不限於：

• 1990年《計算機濫用法》
• 2016/679（GDPR）和《 2018年數據保護法》的一般數據保護條例

與其法律義務兼容的範圍 Blueair 不會採取民事訴訟反對或尋求起訴安全研究人員 Blueair 研究人員真誠地行事並按照本披露政策的行為。

8。違反政策

嚴格禁止在不遵循此披露過程的情況下開發安全漏洞的任何嘗試，並可能採取法律行動。

9。策略更新

該策略可能會不時更新。定期檢查此頁面以獲取最新信息。

感謝您幫助我們維護物聯網設備/產品的安全性。