Politique de divulgation des vulnérabilités
Politique de divulgation des vulnérabilités
# Introduction
(Chez ANTHBOT, nous révolutionnons Entretenez votre pelouse avec nos tondeuses robotisées innovantes. Fondée par des ingénieurs expérimentés, notre entreprise s'engage à fournir une technologie de pointe pour rendre le jardinage plus facile, plus efficace et plus agréable. En mai 2023, notre modèle phare, Pion, a été lancé avec la technologie C-TOF unique, offrant des fonctionnalités intelligentes. Des fonctionnalités telles que la tonte en U, la surveillance en temps réel et la détection des interruptions de coupe ont permis à Pion de gagner la confiance et la satisfaction de clients du monde entier depuis son lancement. Notre modèle de nouvelle génération, Genie, dont le lancement est prévu en août 2024, combine les technologies RTK et IA et représente l'avenir de l'entretien des pelouses. Nous privilégions la durabilité et l'innovation pour vous aider à entretenir facilement une pelouse luxuriante et éclatante. Merci d'avoir choisi ANTHBOT.
La présente politique de divulgation des vulnérabilités s'applique à toutes les vulnérabilités que vous envisagez de nous signaler (à l'« Organisation »). Nous vous recommandons de lire attentivement cette politique avant de signaler une vulnérabilité et de toujours vous y conformer.
Nous apprécions les efforts déployés pour signaler les failles de sécurité conformément à la présente politique. Cependant, nous n'offrons aucune récompense financière pour la divulgation de ces failles.
# Signalement
Si vous pensez avoir découvert une faille de sécurité, veuillez nous soumettre votre rapport en utilisant le lien/l'adresse électronique suivant :
[Site officiel : https://www.anthbot.com]
[Service client: support@anthbot.com]
Veuillez inclure dans votre rapport :
Détails de la vulnérabilité :
- Ressource (adresse web, adresse IP, nom de produit ou de service) sur laquelle la vulnérabilité peut être observée
- Faiblesse (e.g. CWE) (facultatif)
- Gravité (e.g. CVSS v3.0) (facultatif)
- Titre de la vulnérabilité (obligatoire)
- Description de la vulnérabilité (celle-ci doit inclure un résumé, les fichiers justificatifs et les mesures d'atténuation ou recommandations possibles) (obligatoire)
- Impact (que pourrait faire un attaquant ?) (obligatoire)
- Étapes de reproduction. Il doit s'agir d'une démonstration de faisabilité bénigne et non destructive. Cela permet de traiter le signalement rapidement et précisément. Cela réduit également le risque de signalements en double ou d'exploitation malveillante de certaines vulnérabilités, comme la prise de contrôle de sous-domaines.
Coordonnées facultatives :
- Nom
- Adresse email
# À quoi s'attendre
Après réception de votre signalement, nous vous répondrons dans un délai de 5 jours. Nous nous efforcerons de traiter votre signalement dans un délai de 10 jours ouvrables, et notamment les jours de semaine. Nous vous tiendrons informé(e) de l'avancement de votre dossier.
La priorité de correction est déterminée en fonction de l'impact, de la gravité et de la complexité de l'exploitation. Le traitement des rapports de vulnérabilité peut prendre un certain temps. N'hésitez pas à vous renseigner sur l'état d'avancement, mais nous vous recommandons de ne pas le faire plus d'une fois tous les 14 jours afin de permettre à nos équipes de se concentrer sur la correction.
Nous vous informerons lorsque la vulnérabilité signalée sera corrigée, et vous pourriez être invité à confirmer que la solution couvre adéquatement cette vulnérabilité.
Une fois votre vulnérabilité corrigée, nous vous invitons à divulguer votre rapport. Afin d'harmoniser les recommandations à destination des utilisateurs concernés, nous vous encourageons à poursuivre la diffusion publique de votre rapport en collaboration avec nous.
# Conseils
Ne pas:
- Enfreindre toute loi ou réglementation applicable
- Accéder à des quantités de données inutiles, excessives ou importantes
- Modifier les données dans les systèmes ou services de l'organisation
- Utiliser des outils de numérisation invasifs ou destructifs à haute intensité pour trouver les vulnérabilités
- Toute tentative ou tout signalement de déni de service, e.g. surcharge d'un service avec un volume élevé de demandes
- Perturber les services ou les systèmes de l'organisation
Histoire
| Historique du document | ||
| V1.1.1 | Juillet 2024 | Publication |
|
|
|
|