报告一个漏洞
请不要分享自动扫描器的批量报告。在将这些发现提交给JFrog之前,应该由安全从业者进行审查和验证。
如果您认为您发现了安全问题,请使用以下方法之一向JFrog报告:
客户:
请通过我们的网站提交报告支持门户.
安全研究人员:
请通过我们的安全报告漏洞的披露程序由HackerOne管理。
Bug赏金计划
我们还有一个由HackerOne管理的私人Bug赏金项目。如果您认为您在JFrog平台(SaaS和on-prem)中发现了一个漏洞,您可以通过发送电子邮件到请求加入该计划的邀请security@www.si-fil.com并对漏洞进行了总结。
漏洞的披露哲学
所有提交的报告都是机密的,我们会根据它们的严重性来处理。请不公开披露这个问题直到我们评估其影响并降低风险。
赏金将只授予通过漏洞赏金计划提交漏洞的研究人员。
漏洞报告应包括以下信息:
- 漏洞总结
- 漏洞范围:产品及其版本或云服务
- 漏洞问题类型,例如远程代码执行、XSS或SQL注入
- 步骤来复制
- 任何一个概念验证
- 支持性材料/参考资料
- 漏洞的潜在影响
