Pentair责任披露计划
任务
Pentair致力于其Win Right价值观。实现我们的Win Right价值观的一部分是对我们产品、技术、客户和员工安全的承诺。Pentair认可并重视安全研究人员在识别潜在安全漏洞方面的工作。因此,Pentair采用了这个负责任的披露计划(“计划”),以鼓励安全研究人员通过负责任的检测和报告潜在漏洞,为我们持续的安全工作做出贡献。
计划的范围
原则上,本计划涵盖Pentair所有产品和服务,不包括任何第三方提供的网络组件,如云服务提供商。该计划包括,例如:
- 所有网站包括pentair.com, pentairaes.com, pelicanwater.com
- 当前所有接入产品(不包括云接入和云存储)
- 所有移动应用程序
有关本计划排除的产品、服务和漏洞,请参阅下面的“超出范围”列表
研究成果
为遵守本计划,安全研究人员披露潜在漏洞时必须按照以下规定进行:
- 你不能损害公共安全;
- 您不得在“报告”中使用第三方拥有的信息;
- 您不得利用或利用任何漏洞;
- 在任何情况下,您都不得下载、导出或存储Pentair的数据;
- 您不得干扰他人使用Pentair产品或服务;
- 你不能使用不是你自己的帐号;
- 您不得违反任何适用的地方、州、国家或国际法律;
- 不得造成任何数据隐私侵犯;
- 不得造成任何知识产权侵犯;而且
具体而言,禁止以下活动:
- 针对Pentair、其产品或任何第三方提供商的拒绝服务(DoS)攻击;
- 社会工程或网络钓鱼,向Pentair员工、承包商或第三方索取登录密码或凭据;
- 针对Pentair员工、办公室或数据中心的物理攻击;
- 了解恶意软件的传播情况;而且
- 使用未经请求的批量消息(垃圾邮件)追踪任何漏洞。
报告提交及检讨
- 要参与,您必须通过电子邮件向Pentair提交一份潜在漏洞报告(“报告”)ResponsibleDisclosure@Pentair.com.
- 在成功提交您的报告后,您将收到我们的收到确认。
- 我们收到你的报告后,会进行审核。请给我们一段合理的时间来调查你的报告并确认情况。我们将合理地通知您您通过我们已验证的程序报告的任何漏洞的状态。
- Pentair不对其未收到的任何报告负责。
报告中应该包含什么
一份详细的、写得很好的报告将有助于我们更快地评估形势。为了便于审查,请包括潜在漏洞的详细描述,以便我们能够重现和纠正任何问题,并包括发现过程中使用的目标、工具、流程、工件等。欢迎提交截图。
信息披露
我们承诺及时回应所有报告。作为我们对所有报告作出回应的承诺的回报,为了符合本计划的资格,您必须不向Pentair以外的任何人披露报告的任何内容或您向Pentair以外的任何人提交报告的事实。在Pentair通知您其已完成对报告的审查后,您可以要求将报告内容披露给第三方。在审查所有此类请求时,Pentair将自行决定作出所有决定您的参与资格
要参加本计划,您必须:
- 已阅读并同意本计划;
- 年满18岁;
- 以个人身份或在雇主的允许下参加该计划。
要参加本计划,您必须不是:
- 在制裁名单上或在制裁名单上的国家(如古巴、伊朗、朝鲜、苏丹或叙利亚);
- 任何适用法律禁止或限制参与本计划;
- 目前或过去一年受雇于Pentair及其附属公司;或
- 作为报告主题的代码的贡献者。
如果您违反本声明的任何条款,您将自动被取消参加本计划的资格。
法律
- Pentair可自行决定在任何时候修改或终止该计划。
- Pentair可自行决定在任何时候取消任何安全研究人员参加本项目的资格。
- Pentair可在任何时候对任何犯罪或非法活动采取法律行动。
- 本计划不会使您成为Pentair的雇员或承包商,您需要根据国家和当地法律承担任何税费或额外限制。
联系信息
如果您对课程有任何疑问,请与我们联系ResponsibleDisclosure@Pentair.com.
超出范围
以下产品、服务和漏洞不在本计划的范围之内:
- Pentair不再生产、维护或销售的产品和服务,包括过时或未打补丁的应用程序、服务、软件、固件;
- 第三方网站或服务,包括Pentair应用程序中包含的第三方软件;
- 导致应用程序崩溃的bug;
- 袭击Pentair基础设施;
- 需要物理访问用户移动设备的攻击;
- 网络配置错误;
- 违反适用于任何供应商产品的许可证或其他限制;
- 第三方应用程序(如java、插件)或网站的安全漏洞;
- 主机报头注入(除非你能说明它们如何导致数据丢失);
- Self-XSS(用户自定义有效载荷);
- 登录/注销CSRF;
- 使用已知易受攻击的库(没有可利用性的证据);
- 影响过时浏览器或平台用户的漏洞;
- 需要越狱或扎根移动设备的漏洞;
- 先前报告的漏洞除非在随后的报告中报告了一些补充资料;
- 最近的收购在收购后的前六(6)个月,使Pentair有时间进行内部审查和缓解任何问题;而且
- 安全影响微不足道的漏洞或被利用对Pentair进行恶意攻击的漏洞。常见的例子包括但不限于以下内容:
- 漏洞是通过对Pentair员工、客户和/或合作伙伴进行攻击,或引用社会工程技术(例如肩窥、窃取设备、网络钓鱼、欺诈、窃取凭证)发现的;
- 需要扎根或越狱移动设备的漏洞;
- Pentair实验室、分期环境或沙箱中的漏洞;
- 与安全问题无关的系统漏洞。
感谢您对使Pentair及其产品更安全的关注。