Política de divulgación de vulnerabilidades

Política de divulgación de vulnerabilidades

# Introducción

En ANTHBOT, revolucionamos el cuidado del césped con nuestros innovadores cortacéspedes robóticos. Fundada por ingenieros experimentados, nos comprometemos a ofrecer tecnología de vanguardia para que la jardinería sea más fácil, eficiente y placentera. En mayo de 2023, nuestro modelo estrella, Pion, debutó con la exclusiva tecnología C-TOF, que ofrece funciones inteligentes como corte en forma de U, monitoreo en tiempo real y detección de puntos de interrupción. Desde su lanzamiento, Pion se ha ganado la confianza y satisfacción de clientes de todo el mundo. Nuestro modelo de próxima generación, Genie, con lanzamiento previsto para agosto de 2024, combina tecnología RTK e IA, representando el futuro del cuidado del césped. Nos centramos en la sostenibilidad y la innovación para ayudarle a mantener fácilmente un césped exuberante y vibrante. Gracias por elegir ANTHBOT.

Esta política de divulgación de vulnerabilidades se aplica a cualquier vulnerabilidad que considere reportarnos (la "Organización"). Le recomendamos leerla detenidamente antes de reportar una vulnerabilidad y actuar siempre conforme a ella.

Valoramos a quienes se toman el tiempo y el esfuerzo de reportar vulnerabilidades de seguridad según esta política. Sin embargo, no ofrecemos recompensas monetarias por la divulgación de vulnerabilidades.

# Informes

 

Si cree que ha encontrado una vulnerabilidad de seguridad, envíenos su informe mediante el siguiente enlace o correo electrónico:

[Sitio web oficial: https://www.anthbot.com ]

[Atención al cliente: support@anthbot.com ]

En su informe incluya:

Detalles de la vulnerabilidad:

  • Activo (dirección web, dirección IP, nombre del producto o servicio) donde se puede observar la vulnerabilidad
  • Debilidad (por ejemplo, CWE) (opcional)
  • Gravedad (por ejemplo, CVSS v3.0) (opcional)
  • Título de la vulnerabilidad (obligatorio)
  • Descripción de la vulnerabilidad (debe incluir un resumen, archivos de respaldo y posibles mitigaciones o recomendaciones) (obligatorio)
  • Impacto (¿qué podría hacer un atacante?) (obligatorio)
  • Pasos para la reproducción. Deben ser una prueba de concepto benigna y no destructiva. Esto ayuda a garantizar que el informe se pueda clasificar con rapidez y precisión. También reduce la probabilidad de informes duplicados o la explotación maliciosa de algunas vulnerabilidades, como la apropiación de subdominios.

Datos de contacto opcionales:

  • Nombre
  • Dirección de correo electrónico

# Qué esperar

Tras enviar su informe, le responderemos en un plazo de 5 días hábiles y su evaluación se realizará en un plazo de 10 días hábiles. También le mantendremos informado sobre nuestro progreso.

La prioridad de la remediación se evalúa considerando el impacto, la gravedad y la complejidad del exploit. La clasificación o la resolución de los informes de vulnerabilidad puede tardar un tiempo. Puede consultar el estado, pero evite hacerlo más de una vez cada 14 días. Esto permite que nuestros equipos se centren en la remediación.

Le notificaremos cuando se haya solucionado la vulnerabilidad informada y es posible que se le invite a confirmar que la solución cubre la vulnerabilidad adecuadamente.

Una vez resuelta su vulnerabilidad, agradecemos las solicitudes para divulgar su informe. Nos gustaría unificar las directrices para los usuarios afectados, así que les rogamos que sigan coordinando la publicación con nosotros.

# Guía

No:

  • Infringir cualquier ley o normativa aplicable
  • Acceder a cantidades innecesarias, excesivas o significativas de datos
  • Modificar datos en los sistemas o servicios de la Organización
  • Utilice herramientas de escaneo invasivas o destructivas de alta intensidad para encontrar vulnerabilidades
  • Intentar o informar cualquier forma de denegación de servicio, por ejemplo, saturar un servicio con un gran volumen de solicitudes.
  • Interrumpir los servicios o sistemas de la Organización

Historia

Historial del documento

Versión 1.1.1

Julio de 2024

Publicación