Pentair责任披露计划
任务
Pentair致力于其双赢价值观。践行我们的双赢价值观的一部分是致力于我们的产品、技术、客户和员工的安全。Pentair认识到并重视安全研究人员在识别潜在安全漏洞方面的工作。因此,Pentair采用了这一负责任的披露计划am(以下简称“计划”)鼓励安全研究人员通过负责任地检测和报告潜在漏洞,为我们正在进行的安全工作做出贡献。
方案的范围
原则上,本计划涵盖Pentair所有产品和服务,不包括任何第三方提供的网络组件,如云服务提供商。该计划包括以下内容:
- 所有网站,包括.pentair.com、pentairaes.com、pelicanwater.com
- 所有当前连接的产品(不包括云连接和云存储)
- 所有移动应用程序
请参阅下面的“超出范围”列表,了解被排除在本计划之外的产品、服务和漏洞
研究业绩
为了遵守该计划,披露潜在漏洞的安全研究人员必须按照以下要求进行:
- 你不能危害公共安全;
- 您不得在报告中使用第三方拥有的信息;
- 您不得利用或利用任何漏洞;
- 在任何情况下,您不得下载、导出或存储Pentair的数据;
- 不得干扰他人使用Pentair产品或服务;
- 您不得使用非您自己的账户;
- 您不得违反任何适用的地方、州、国家或国际法;
- 您不得造成任何数据隐私侵犯;
- 您不得造成任何知识产权侵犯;和
具体而言,禁止以下活动:
- 拒绝服务(DoS)攻击Pentair、其产品或任何第三方供应商;
- 社交工程或网络钓鱼,从Pentair员工、承包商或第三方那里获取登录密码或证书;
- 对Pentair员工、办公室或数据中心的物理攻击;
- 了解任何恶意软件的分布情况;和
- 使用未经请求的批量消息(垃圾邮件)追踪任何漏洞。
报告提交和审查
- 若要参与,您必须通过电子邮件向Pentair提交一份潜在漏洞报告(“报告”),地址为ResponsibleDisclosure@Pentair.com.
- 在你成功提交报告后,你将收到我们的收据确认。
- 在我们收到您的报告后,我们将进行审查。请给我们一段合理的时间来调查您的报告并确认情况。我们将合理地告知您通过我们已验证的程序报告的任何漏洞的状态。
- Pentair不负责任何它没有收到的报告。
在你的报告中应该包括什么
一份详细、书面良好的报告将有助于我们更快地评估情况。为了便于审查,请包括潜在漏洞的详细描述,以便我们能够重现和纠正任何问题,并包括发现中使用的目标、工具、过程、工件等。欢迎提交截图。
信息披露
我们承诺及时回复所有报告。作为对我们回复所有报告的承诺的回报,为了符合本计划的要求,您不得披露报告的任何内容或您向Pentair以外的任何人提交报告的事实。Pentair向您传达其已完成对您可以要求能够向第三方披露您的报告内容。在审查所有此类请求时,Pentair将自行决定所有决定你有资格参加吗
要参加此计划,您必须:
- 已阅读并同意本计划;
- 年满18岁;
- 以个人身份或在雇用您的组织的许可下参加该计划。
要参加这个计划,你必须不是:
- 在制裁名单上或制裁名单上的国家(如古巴、伊朗、朝鲜、苏丹或叙利亚);
- 任何适用法律禁止或限制参与项目;
- 目前或过去一年受雇于Pentair及其附属公司;或
- 报告主题代码的贡献作者。
如果您违反这些陈述的任何规定,您将自动取消参加本计划的资格。
法律
- Pentair可自行决定随时修改或终止该计划。
- Pentair可在任何时候自行决定取消任何安全研究人员参加本计划的资格。
- 潘泰尔可以在任何时候对任何犯罪或非法活动采取法律行动。
- 本计划不使您成为Pentair的雇员或承包商,您有责任根据您的国家和地方法律缴纳任何税费或附加限制。
联系方式
如果您对该计划有任何疑问,请联系我们ResponsibleDisclosure@Pentair.com.
超出范围
以下产品、服务和漏洞不在本计划的范围内:
- Pentair不再生产、维护或销售的产品和服务,包括过时或未修补的应用程序、服务、软件、固件;
- 第三方网站或服务,包括Pentair应用程序中的第三方软件;
- 导致应用崩溃的漏洞;
- 攻击Pentair基础设施;
- 需要物理访问用户移动设备的攻击;
- 网络配置错误;
- 违反适用于任何供应商产品的许可证或其他限制;
- 第三方应用程序(如java、插件)或网站的保安漏洞;
- 主机头注入(除非您能说明它们如何导致数据丢失);
- 自XSS(用户定义的有效载荷);
- 登录/注销CSRF;
- 使用已知易受攻击的库(无可利用性证据);
- 影响过时浏览器或平台用户的漏洞;
- 需要越狱或根移动设备的漏洞;
- 以前报告的漏洞除非在随后的报告中报告了一些补充信息;
- 收购后前六(6)个月的近期收购,以便Pentair有时间进行内部审查并缓解任何问题;和
- 可忽略安全影响或被利用对Pentair进行恶意攻击的漏洞。常见示例可能包括但不限于以下内容:
- 通过对Pentair员工、客户和/或合作伙伴进行攻击,或参考社会工程技术(例如肩部冲浪、盗窃设备、网络钓鱼、欺诈、被盗凭证)发现漏洞;
- 需要植根或越狱移动设备的漏洞;
- Pentair实验室、暂存环境或沙箱中的漏洞;
- 与安全问题无关的系统漏洞。
感谢您对使Pentair及其产品更安全感兴趣。