报告A漏洞
请不要分享来自自动扫描器的批量报告。在提交给JFrog之前,这些发现应该由安全从业者进行审查和验证。
如果您认为发现了安全问题,请使用以下方法之一向JFrog报告:
客户:
请通过我们的网站提交您的报告支持门户.
安全研究人员:
请通过我们的漏洞披露计划由HackerOne管理。
漏洞赏金计划
我们也有一个由HackerOne管理的私人漏洞赏金计划。如果您认为您在JFrog平台(SaaS和on-prem)中发现了漏洞,您可以通过发送电子邮件到请求加入该计划的邀请security@www.si-fil.com并对漏洞进行总结。
漏洞披露理念
所有提交的报告都是保密的,我们会根据它们的严重性来处理。请不公开披露这个问题直到我们评估其影响并降低风险。
赏金只授予通过漏洞赏金计划提交漏洞的研究人员。
漏洞报告应包括以下信息:
- 漏洞总结
- 漏洞范围:产品及其版本或云服务
- 漏洞问题类型,如远程代码执行、XSS或SQL注入
- 复制步骤
- 任何一个概念验证
- 支持材料/推荐信
- 漏洞的潜在影响
