JFrog信任

报告A漏洞

请不要共享自动扫描器的批量报告。在将这些发现提交给JFrog之前,应该由安全从业者对其进行审查和验证。

如果您认为您发现了安全问题,请使用以下方法之一向JFrog报告:

客户:

请通过我们的支持门户

安全研究人员:

请通过我们的漏洞披露计划由HackerOne管理。

Bug赏金计划

我们还有一个由HackerOne管理的私人漏洞赏金计划。如果您认为在JFrog平台(SaaS和on-prem)中发现了一个漏洞,您可以通过发送电子邮件请求加入该计划security@www.si-fil.com带有漏洞的摘要。

漏洞披露理念

所有提交的报告都是保密的,我们会根据严重程度来处理。请不公开披露这个问题直到我们评估其影响并降低风险。

赏金将只授予通过我们的漏洞赏金计划提交漏洞的研究人员。

漏洞报告应包括以下信息:

  • 漏洞摘要
  • 漏洞范围:产品及其版本或云服务
  • 漏洞问题类型,例如远程代码执行、XSS或SQL注入
  • 繁殖的步骤
  • 任何一个概念验证
  • 支持材料/参考资料
  • 漏洞的潜在影响

要么释放,要么死亡