漏洞报告政策
Esri 产品安全事件响应团队 (PSIRT) 非常重视独立安全研究人员在 Internet 安全中的重要作用。 我们鼓励对在我们的站点或应用程序中发现的任何漏洞进行负责报告。 Esri 致力于与安全社区合作,以验证并响应报告给我们的任何潜在漏洞。 如果遵循此政策,Esri 不会对您提起诉讼或对您进行执法调查。
Esri 不允许进行以下类型的安全性研究
- 导致或试图导致拒绝服务 (DOS) 条件。
- 未经 Esri 明确同意,请使用自动化安全工具。 使用自动化工具可能会导致调查行动或您的 IP 被阻止。
- 访问或试图访问不属于您的数据或信息。
- 销毁或破坏,或试图销毁或破坏不属于您的数据或信息。
研究人员、根 CNA 和子 CNA:
- Esri 是 Esri 软件产品范围内的 CVE 编号机构 (CNA)。
- Esri 按照协调的漏洞披露指南为漏洞分配 CVE 标识符。
- 当用于解决已识别漏洞的修补程序可用时,Esri 将发布漏洞公告。
- 在 Esri 的产品生命周期内,将为通用版本和扩展支持阶段的软件提供修补程序。
- 对于处于成熟支持或停用状态的软件,将不会提供修补程序。
- 使用处于成熟支持或停用状态的软件的客户应升级至当前软件版本,以修复根据 Esri 产品生命周期修补的安全漏洞。
第三方组件漏洞
Esri 软件通常包含第三方或开源库和二进制文件。 请先查看位于“文档”选项卡中的 Esri 第三方组件 CVE 响应文档,然后再提交请求以验证第三方组件中潜在的安全问题将如何影响 Esri 软件。
产品安全事件响应团队的承诺
对于所有遵循此漏洞报告政策的安全研究人员,产品安全事件响应团队承诺以下内容:
- 及时回复,确认已收到您的报告。
- 提供解决此漏洞的预计时间范围。
- 修复漏洞后通知报告人员。