生效日期：2025年1月1日

漏洞披露政策

本漏洞披露政策适用于Sectigo Limited及其子公司，包括Sectigo, Inc.、SSL247 SAS、SSL247 Limited和SSL247, Inc.（统称为“Sectigo”或“我们”），并阐述了Sectigo（“我们的”）负责任地披露漏洞的政策、实践和指南。

简介

Sectigo致力于确保其系统的安全性并保护客户信息。本政策旨在为安全研究人员提供明确的指南，以开展漏洞发现活动，并传达我们希望研究人员如何向我们提交所发现漏洞的偏好。

本政策描述了本政策涵盖的系统和研究类型、如何向我们发送漏洞报告，以及我们要求安全研究人员在公开披露漏洞之前等待多长时间。

我们鼓励您与我们联系，以报告我们系统中可能存在的漏洞。

授权

如果您在安全研究过程中善意地努力遵守本政策，我们将认为您的研究已获得授权，我们将与您合作，以快速理解和解决问题，并且Sectigo不会建议或采取与您的研究相关的法律行动。如果第三方因您根据本政策开展的活动而对您提起法律诉讼，我们将公开此授权。

指南

根据本政策，“研究”是指您开展以下活动的行为：

• 在您发现实际或潜在安全问题后，尽快通知我们。

• 尽一切努力避免侵犯隐私、降低用户体验、中断生产系统以及破坏或篡改数据。

• 仅在确认漏洞存在所必需的范围内使用漏洞利用。不要利用漏洞来破坏或窃取数据、建立持久的命令行访问权限，或利用漏洞渗透到其他系统。

• 在您公开披露漏洞之前，给我们合理的时间来解决问题。

• 不要提交大量低质量的报告。

• 不要提交由人工智能生成的报告。

一旦您确认存在漏洞或遇到任何敏感数据（包括任何方的个人身份信息、财务信息或专有信息或商业秘密），您必须停止测试，立即通知我们，并且不得向任何其他人披露此数据。

测试方法

以下测试方法未获得授权：

• 网络拒绝服务（DoS或DDoS）测试或其他损害系统或数据访问或造成损坏的测试

• 物理测试（例如办公室访问、开门、尾随）

• 社会工程（例如网络钓鱼、电话诈骗、短信诈骗）

• 其他非技术性漏洞测试

任何违反这些规则的行为都可能受到起诉。

范围

本政策不适用于以下系统和服务：

• 第三方托管服务

• 合作伙伴

• 并非由Sectigo或其子公司托管或管理的系统

本政策适用于以下系统和服务：

• *.sectigo.com
• *.ssl247.com
• *.sitelock.com
• *.xolphin.com
• *.positivessl.com
• *.comodoca.com

任何未明确列出的服务（如任何连接服务）均不在范围内，且未经授权进行测试。此外，在我们供应商系统中发现的漏洞不属于本政策的范围，应根据其披露政策（如有）直接报告给供应商。如果您不确定某个系统是否在范围内，请在开始研究之前通过vuln-reporting@racent.com与我们联系（或通过.gov WHOIS中列出的系统域名安全联系人与我们联系）。

尽管我们开发并维护其他可访问互联网的系统或服务，但我们要求仅对本文件范围内所述的系统和服务进行积极的研究和测试。如果您认为某个不在范围内的特定系统值得测试，请先与我们联系讨论。随着时间的推移，我们将扩大本政策的范围。

报告漏洞

我们通过此表格或通过vuln-reporting@racent.com接收漏洞报告。报告可以匿名提交。如果您提供了联系方式，我们将在3个工作日内确认收到您的报告。

我们不支持PGP加密电子邮件。对于特别敏感的信息，请在单独的电子邮件中以加密的ZIP文件形式提交您的报告。

我们希望您提供的信息

为了帮助我们对提交的内容进行分类和优先排序，我们要求您的报告包含以下信息：

• 描述发现漏洞的位置以及利用漏洞的潜在影响。

• 详细描述重现漏洞所需的步骤。

• 包含概念验证或重现问题的脚本

• 屏幕截图可能有所帮助

• 使用英语

您可以从我们这里得到的信息

当您选择与我们分享您的联系方式时，我们承诺将尽可能公开、快速地与您协调。

• 我们将在3个工作日内确认收到您的报告。

• 我们将尽最大能力向您确认漏洞的存在，并尽可能透明地说明我们在修复过程中正在采取的步骤，包括可能延迟解决的问题或挑战。

• 我们将保持开放对话，讨论相关问题。

问题

有关本政策的问题可以发送至vuln-reporting@racent.com。我们还欢迎您就改进本政策与我们联系。

本漏洞披露政策的修订

Sectigo保留随时修订本漏洞披露政策的权利。