Politique de divulgation des vulnérabilités
Politique de divulgation des vulnérabilités
# Introduction
(Chez ANTHBOT, nous révolutionnons l'entretien des pelouses avec nos tondeuses à gazon robotisées innovantes. Fondées par des ingénieurs expérimentés, nous nous engageons à fournir une technologie de pointe pour rendre le jardinage plus facile, plus efficace et plus agréable. En mai 2023, notre modèle phare, Pion, a fait ses débuts avec la technologie C-TOF unique, offrant des fonctionnalités intelligentes telles que la tonte en U, la surveillance en temps réel et la détection des points d'arrêt. Depuis son lancement, Pion a gagné la confiance et la satisfaction des clients du monde entier. Notre modèle de nouvelle génération, Genie, dont le lancement est prévu en août 2024, combine les technologies RTK et IA, représentant l'avenir de l'entretien des pelouses. Nous nous concentrons sur la durabilité et l'innovation pour vous aider à entretenir facilement une pelouse luxuriante et dynamique. Merci d'avoir choisi ANTHBOT.)
Cette politique de divulgation des vulnérabilités s'applique à toute vulnérabilité que vous envisagez de nous signaler (à l'« Organisation »). Nous vous recommandons de la lire attentivement avant de signaler une vulnérabilité et de toujours vous y conformer.
Nous apprécions ceux qui prennent le temps et font l'effort de signaler les vulnérabilités de sécurité conformément à cette politique. Cependant, nous n'offrons aucune récompense financière pour la divulgation de ces vulnérabilités.
# Rapports
Si vous pensez avoir trouvé une vulnérabilité de sécurité, veuillez nous soumettre votre rapport en utilisant le lien/l'e-mail suivant :
[Site officiel : https://www.anthbot.com ]
[Service client : support@anthbot.com ]
Dans votre rapport, veuillez inclure :
Détails de la vulnérabilité :
- Actif (adresse Web, adresse IP, nom du produit ou du service) où la vulnérabilité peut être observée
- Faiblesse (par exemple CWE) (facultatif)
- Gravité (par exemple CVSS v3.0) (facultatif)
- Titre de la vulnérabilité (obligatoire)
- Description de la vulnérabilité (cela doit inclure un résumé, des fichiers justificatifs et des mesures d'atténuation ou des recommandations possibles) (obligatoire)
- Impact (que pourrait faire un attaquant ?) (obligatoire)
- Étapes à suivre pour reproduire le problème. Il doit s'agir d'une preuve de concept simple et non destructive. Cela permet de garantir un tri rapide et précis du rapport. Cela réduit également le risque de doublons ou d'exploitation malveillante de certaines vulnérabilités, comme le vol de sous-domaines.
Coordonnées facultatives :
- Nom
- Adresse email
# À quoi s'attendre
Après avoir soumis votre signalement, nous vous répondrons dans un délai de 5 jours ouvrés et nous nous efforcerons de le traiter dans un délai de 10 jours ouvrés. Nous vous tiendrons également informé de l'avancement de votre dossier.
La priorité des mesures correctives est évaluée en fonction de l'impact, de la gravité et de la complexité de l'exploitation. Le traitement des rapports de vulnérabilité peut prendre un certain temps. N'hésitez pas à vous renseigner sur leur statut, mais évitez de le faire plus d'une fois tous les 14 jours. Cela permet à nos équipes de se concentrer sur la correction.
Nous vous informerons lorsque la vulnérabilité signalée sera corrigée et vous pourrez être invité à confirmer que la solution couvre correctement la vulnérabilité.
Une fois votre vulnérabilité corrigée, nous acceptons toute demande de divulgation de votre signalement. Nous souhaitons unifier les directives destinées aux utilisateurs concernés ; veuillez donc continuer à coordonner la publication de votre rapport avec nous.
# Conseils
Ne pas:
- Enfreindre toute loi ou réglementation applicable
- Accéder à des quantités de données inutiles, excessives ou importantes
- Modifier les données dans les systèmes ou services de l'Organisation
- Utiliser des outils d'analyse invasifs ou destructeurs de haute intensité pour trouver des vulnérabilités
- Tenter ou signaler toute forme de déni de service, par exemple submerger un service avec un volume élevé de demandes
- Perturber les services ou les systèmes de l'organisation
Histoire
|
Historique du document |
||
|
V1.1.1 |
Juillet 2024 |
Publication |