跳转至

漏洞赏金计划 (Bug Bounty Program)

Ostorlab 认识到没有任何技术是完美无缺的。因此,Ostorlab 与全球各地经验丰富的安全研究人员合作,以发现其技术中存在的弱点。

如果您认为在 Ostorlab 的任何产品或服务中发现了安全问题,请通知我们。Ostorlab 将与您合作以迅速解决该问题。

为了对负责任的安全研究人员表示感谢,Ostorlab 为符合条件的安全漏洞报告提供现金赏金。奖励金额将根据所报告漏洞的严重程度 (Severity) 而有所不同,奖励资格由 Ostorlab 自行决定。

目前,Ostorlab 的漏洞赏金计划尚未公开,但有意参与的安全研究人员可以通过与我们联系来请求邀请。

在提交潜在的安全漏洞时,请提供问题的详细描述以及复现步骤。非常欢迎提供屏幕截图、视频或其他形式的概念验证 (PoC)。 未经事先批准,请勿使用自动化的漏洞扫描工具,并且请勿在未获明确同意的情况下尝试访问或破坏任何数据或系统。

Ostorlab 还要求安全研究人员在问题得到解决并支付赏金之前,不要向任何第三方披露该漏洞。此外,在 Ostorlab 有足够时间处理该漏洞之前,请勿公开披露该漏洞。

我们提前感谢您在维护我们技术安全方面提供的帮助。我们可以共同确保 Ostorlab 的产品和服务对每个人来说都保持安全可靠。

注意事项

  • Ostorlab 可能不会对发现的所有安全漏洞予以回复或奖励,且漏洞的严重程度和影响可能与研究人员的认知不同。
  • 只有原创的发现才符合资格,重复的漏洞将不予奖励。
  • 任何不遵守本政策的行为都将导致被取消该计划的参与资格。

资格要求:

如果您符合并同意遵守以下所有规定,您有资格参与本计划:

  • 您至少年满 18 周岁。但是,如果在您的居住地您被视为未成年人,则在参加本计划之前必须获得您父母或法定监护人的许可。
  • 您是以个人身份参与的独立研究人员,或者您受雇于允许您参与的组织。您有责任审查雇主关于参与本计划的相关规定。
  • 您同意 (i) 对从 Ostorlab 收到的所有信息保密,包括但不限于与此漏洞赏金计划有关的所有信息(例如 Ostorlab 系统架构、商业计划等)以及正常且合理地被视为机密的任何其他信息和材料(“机密信息”),(ii) 保护机密信息免遭任何未经授权的使用或披露,(iii) 仅将机密信息用于向您提供该信息的目的。
  • 您声明并保证,您提交的内容是您自己的工作成果,您没有使用属于其他个人或实体的信息,并且您拥有向 Ostorlab 提供提交内容的合法权利。
  • 您承认 Ostorlab 将无偿拥有您因参与 Ostorlab 漏洞赏金计划而创建或开发的所有成果。
  • 您承认您的提交不保证会获得任何补偿或署名。

如果您符合以下任何条件,您不具备参与本计划的资格:

  • 您未满 18 周岁;
  • 您是受美国制裁国家(https://www.treasury.gov/resource-center/sanctions/Pages/default.aspx)或任何其他不允许参与漏洞赏金计划的国家的居民;
  • 您是公共部门雇员;
  • 您参与本计划将违反您雇主的政策;
  • 您目前是 Ostorlab 或 Ostorlab 实体的员工,或此类员工的直系亲属(父母、兄弟姐妹、配偶或子女);
  • 您曾是 Ostorlab 的员工;

免责声明

您了解参与本计划需自行承担风险。

责任限制 在适用法律允许的最大范围内,除非本协议另有规定,否则在任何情况下,Ostorlab、其关联公司或其各自的员工、承包商、代理、高级职员或董事均不对您或您参与 Ostorlab 漏洞赏金计划的实体承担任何间接、惩罚性、附带、特殊、后果性或惩戒性损害赔偿,包括但不限于因本计划引起的或与本计划有关的业务中断、利润损失、商誉损失、使用权损失、数据损失或其他无形损失的损害赔偿。如果您有任何理由获得与本计划相关的损害赔偿(包括违反这些条款),您同意您唯一的补救措施是从 Ostorlab 或任何关联公司、经销商、分销商和供应商处获得最高不超过 100.00 美元(USD)的直接损害赔偿。无论被指控的责任是基于合同、侵权、过失、严格责任还是任何其他依据,即使非违约方已被告知发生此类损害的可能性,本节中的排除和限制条款均适用。