负责任的披露

主要内容从这里开始

Pentair责任披露计划

任务

Pentair致力于其双赢价值观。践行我们的双赢价值观的一部分是致力于我们的产品、技术、客户和员工的安全。Pentair认识到并重视安全研究人员在识别潜在安全漏洞方面的工作。因此,Pentair采用了这一负责任的披露计划am(以下简称“计划”)鼓励安全研究人员通过负责任地检测和报告潜在漏洞,为我们正在进行的安全工作做出贡献。

方案的范围

原则上,本计划涵盖Pentair所有产品和服务,不包括任何第三方提供的网络组件,如云服务提供商。该计划包括以下内容:

  • 所有网站,包括.pentair.com、pentairaes.com、pelicanwater.com
  • 所有当前连接的产品(不包括云连接和云存储)
  • 所有移动应用程序

请参阅下面的“超出范围”列表,了解被排除在本计划之外的产品、服务和漏洞

研究业绩

为了遵守该计划,披露潜在漏洞的安全研究人员必须按照以下要求进行:

  • 你不能危害公共安全;
  • 您不得在报告中使用第三方拥有的信息;
  • 您不得利用或利用任何漏洞;
  • 在任何情况下,您不得下载、导出或存储Pentair的数据;
  • 不得干扰他人使用Pentair产品或服务;
  • 您不得使用非您自己的账户;
  • 您不得违反任何适用的地方、州、国家或国际法;
  • 您不得造成任何数据隐私侵犯;
  • 您不得造成任何知识产权侵犯;和

具体而言,禁止以下活动:

  • 拒绝服务(DoS)攻击Pentair、其产品或任何第三方供应商;
  • 社交工程或网络钓鱼,从Pentair员工、承包商或第三方那里获取登录密码或证书;
  • 对Pentair员工、办公室或数据中心的物理攻击;
  • 了解任何恶意软件的分布情况;和
  • 使用未经请求的批量消息(垃圾邮件)追踪任何漏洞。

报告提交和审查

  • 若要参与,您必须通过电子邮件向Pentair提交一份潜在漏洞报告(“报告”),地址为ResponsibleDisclosure@Pentair.com.
  • 在你成功提交报告后,你将收到我们的收据确认。
  • 在我们收到您的报告后,我们将进行审查。请给我们一段合理的时间来调查您的报告并确认情况。我们将合理地告知您通过我们已验证的程序报告的任何漏洞的状态。
  • Pentair不负责任何它没有收到的报告。

在你的报告中应该包括什么

一份详细、书面良好的报告将有助于我们更快地评估情况。为了便于审查,请包括潜在漏洞的详细描述,以便我们能够重现和纠正任何问题,并包括发现中使用的目标、工具、过程、工件等。欢迎提交截图。

信息披露

我们承诺及时回复所有报告。作为对我们回复所有报告的承诺的回报,为了符合本计划的要求,您不得披露报告的任何内容或您向Pentair以外的任何人提交报告的事实。Pentair向您传达其已完成对您可以要求能够向第三方披露您的报告内容。在审查所有此类请求时,Pentair将自行决定所有决定你有资格参加吗

要参加此计划,您必须:

  • 已阅读并同意本计划;
  • 年满18岁;
  • 以个人身份或在雇用您的组织的许可下参加该计划。

要参加这个计划,你必须不是:

  • 在制裁名单上或制裁名单上的国家(如古巴、伊朗、朝鲜、苏丹或叙利亚);
  • 任何适用法律禁止或限制参与项目;
  • 目前或过去一年受雇于Pentair及其附属公司;或
  • 报告主题代码的贡献作者。

如果您违反这些陈述的任何规定,您将自动取消参加本计划的资格。

法律

  • Pentair可自行决定随时修改或终止该计划。
  • Pentair可在任何时候自行决定取消任何安全研究人员参加本计划的资格。
  • 潘泰尔可以在任何时候对任何犯罪或非法活动采取法律行动。
  • 本计划不使您成为Pentair的雇员或承包商,您有责任根据您的国家和地方法律缴纳任何税费或附加限制。

联系方式

如果您对该计划有任何疑问,请联系我们ResponsibleDisclosure@Pentair.com.

超出范围

以下产品、服务和漏洞不在本计划的范围内:

  • Pentair不再生产、维护或销售的产品和服务,包括过时或未修补的应用程序、服务、软件、固件;
  • 第三方网站或服务,包括Pentair应用程序中的第三方软件;
  • 导致应用崩溃的漏洞;
  • 攻击Pentair基础设施;
  • 需要物理访问用户移动设备的攻击;
  • 网络配置错误;
  • 违反适用于任何供应商产品的许可证或其他限制;
  • 第三方应用程序(如java、插件)或网站的保安漏洞;
  • 主机头注入(除非您能说明它们如何导致数据丢失);
  • 自XSS(用户定义的有效载荷);
  • 登录/注销CSRF;
  • 使用已知易受攻击的库(无可利用性证据);
  • 影响过时浏览器或平台用户的漏洞;
  • 需要越狱或根移动设备的漏洞;
  • 以前报告的漏洞除非在随后的报告中报告了一些补充信息;
  • 收购后前六(6)个月的近期收购,以便Pentair有时间进行内部审查并缓解任何问题;和
  • 可忽略安全影响或被利用对Pentair进行恶意攻击的漏洞。常见示例可能包括但不限于以下内容:
    • 通过对Pentair员工、客户和/或合作伙伴进行攻击,或参考社会工程技术(例如肩部冲浪、盗窃设备、网络钓鱼、欺诈、被盗凭证)发现漏洞;
    • 需要植根或越狱移动设备的漏洞;
    • Pentair实验室、暂存环境或沙箱中的漏洞;
    • 与安全问题无关的系统漏洞。

感谢您对使Pentair及其产品更安全感兴趣。

闲谈,聊天
返回页首