Relatar uma Preocupação de Segurança ou Privacidade

Forneça todas as informações aplicáveis no formulário, incluindo detalhes suficientes de sua preocupação específica. Categorize sua preocupação como uma das seguintes:

  • Vulnerabilidade do Software ArcGIS - relata uma vulnerabilidade encontrada no ArcGIS Online ou em um produto da Esri.
  • Problema de Privacidade: Produto do Software ArcGIS - se você tiver preocupado com a privacidade relacionada aos nossos aplicativos, como ArcGIS Online ou outro produto fornecido pela Esri.
  • Problema de Privacidade: Esri Corporate - se você tiver preocupado com a privacidade relacionada à outra organização, como materiais de marketing ou o site corporativo da Esri.com.
  • Problema de Privacidade: URL ou Site Não Seguro - denuncie o abuso de marca da Esri. Incluindo domínios enganosos supostamente vinculados à Esri, fornecedores de software crackeado da Esri ou sites de phishing direcionados a clientes ou funcionários da Esri
  • Outro - para todas as outras questões relacionadas à segurança, privacidade ou conformidade.

Seus dados de contato serão usados apenas para acompanhar as informações que você forneceu.

A Esri PSIRT fornece uma chave PGP pública para uso ao se comunicar com nossa equipe. Use esta chave ao fornecer detalhes de vulnerabilidades do software para a Esri.

Política do Relatório de Vulnerabilidade

A Equipe de Resposta a Incidentes de Segurança do Produto da Esri (PSIRT) reconhece o papel valioso que os pesquisadores de segurança independentes desempenham na segurança da Internet. Encorajamos o relato responsável de quaisquer vulnerabilidades que possam ser encontradas em nosso site ou aplicativo. A Esri está comprometida em trabalhar com a comunidade de segurança para verificar e responder a quaisquer vulnerabilidades em potencial que nos sejam relatadas. A Esri não entrará com nenhuma ação judicial ou iniciará uma investigação policial sobre você se esta política for seguida.

A Esri não permite os seguintes tipos de pesquisa de segurança

  • Causando ou tentando causar uma condição de negação de serviço (DoS).
  • Usar ferramentas de segurança automatizadas sem o consentimento explícito da Esri. O uso de ferramentas automatizadas pode resultar em uma ação investigativa ou em seu IP bloqueado.
  • Acessar ou tentar acessar dados ou informações que não pertencem a você.
  • Destruir ou corromper, ou tentar destruir ou corromper, dados ou informações que não pertencem a você.

Pesquisadores, CNAs Raiz e Sub-CNAs

  • A Esri é a Autoridade de Numeração CVE (CNA) registrada para o escopo dos produtos de software da Esri.
  • A Esri atribui identificadores CVE para vulnerabilidades seguindo diretrizes coordenadas de divulgação de vulnerabilidades.
  • A Esri publicará avisos sobre vulnerabilidades quando patches que solucionem a vulnerabilidade identificada estiverem disponíveis.
  • Os patches são fornecidos para software em disponibilidade geral e suporte estendido no ciclo de vida do produto da Esri.
  • Não são fornecidos patches para softwares com suporte avançado ou status descontinuado.
  • Os clientes que utilizam software em status avançado ou descontinuado devem atualizar para uma versão atual do software para corrigir vulnerabilidades de segurança que são corrigidas de acordo com o ciclo de vida do produto da Esri.

Vulnerabilidades de Componentes de Terceiros

O software da Esri geralmente contém binários e bibliotecas de terceiros ou de código aberto. Antes de enviar uma solicitação para validar como um possível problema de segurança em um componente de terceiros afeta o software da Esri, analise Documento de resposta CVE do componente de terceiros da Esri localizado na guia Documentos.

O compromisso da Equipe de Resposta a Incidentes de Segurança do Produto

A todos os pesquisadores de segurança que seguem esta Política do Relatório de Vulnerabilidade, a Equipe de Resposta a Incidentes de Segurança do Produto se compromete a:

  • Responder em tempo hábil, confirmando o recebimento de seu relatório.
  • Fornecer um prazo estimado para abordar esta vulnerabilidade.
  • Notificar o indivíduo relator quando a vulnerabilidade for corrigida.
Pesquisadores de Segurança Participantes

Gostaríamos de agradecer aos seguintes pesquisadores de segurança por participarem de nosso programa de relatórios responsáveis:

  • Smit B. Shah (@smitshah92)
  • Roberto S. Liverani
  • Or Peles (@peles_o)
  • Roee Hay (@roeehay)
  • Cameron Dawe (@Spam404Online)
  • Dan Kelley (@0x041AA)
  • Jesse Clark (@Hogarth45_ND)
  • Harry Taylor (@GordSchramm)
  • Eusebiu Blindu (@testalways)
  • Francesc Rodriguez (@0katz)
  • Faizan Ahmed
  • Christopher Schaefer
  • Christoph Kisfeld
  • Jimmy Bruneel (@tigerincup)
  • Ekzhin Ear
  • Almog Cygel @almogcygel
  • Gustavo Silva @silva95gustavo
  • Elwood Buck
  • Peter Davies
  • Kusol Watchara-Apanukorn
  • Francis Provencher {PRL}
  • Simon Zuckerbraun
  • rgod
  • Moaaz Taha
  • Mark Belbin
  • Pedro Pinho
  • Adam Willard
  • Greg Gibson
  • Theologos Kokkinellis
  • Andrew Salazar
  • Hussein Bahmad
  • Simone La Porta
  • David M. Chavez
  • Fredrik Ljung
  • Tran Van Khang
  • Philipp Mao
  • Felix Aeppli
  • David Green
  • Félix B
  • Yasser Gamal
  • Miguel Fale
  • Incibe
  • Seyavan
  • Félix Comtois-Boutet
  • Christophe Schleypen
  • Filip Waeytens
  • Christopher Robberts
  • Lekshman R
  • Justin Hocquel
  • Antonin B
  • Lucas Machado (@0x1ucxs)
  • Milos Savic
  • Ash King (@AshleyKingUK)
  • Adam Crompton (@3nc0d3r)
  • David Sardonini Jr.
  • Erez Kalman
  • Cláudia Picoito

Se você estiver solicitando a validação de uma verificação automatizada de vulnerabilidades para o Software da Esri, revise nossa Guia e Requisitos de Verificação Automatizada. Se você estiver preocupado com um componente de terceiros descoberto no ArcGIS, revise nosso aplicativo de resposta CVE de Componente de Terceiros.
(Ambos exigem Login no ArcGIS.)
Se a vulnerabilidade em questão não for encontrada no aplicativo de resposta de vulnerabilidade de componente de terceiros, valide se o problema foi encontrado no Catálogo de Vulnerabilidades Exploráveis ​​Conhecidas (KEV) da US CISA.
As verificações enviadas sem atender a esses pré-requisitos serão rejeitadas.

Enviar