漏洞披露策略

报告安全问题

如果您认为您已经发现了Rapid7产品中的漏洞，或者您有想要报告的安全问题, 请 请填写这张联系表. 如果您觉得有必要，请使用我们的PGP公钥- KeyID: 959年d3eda -对您与我们的通讯进行加密.

确保我们有足够的信息来评估这个问题, 请在你的报告中包括尽可能多的细节. 我们要求您至少包括以下内容:

• 对问题的描述
• 重现问题的步骤
• 问题的潜在影响
• 任何有关的证明资料(例如.g.、屏幕截图、日志、概念验证代码)
• 你希望在任何相关的咨询中得到怎样的认可. 

一旦我们收到漏洞报告, Rapid7将在3天内确认收到报告，并采取一系列措施解决问题:

• Rapid7评估并验证漏洞的合法性.
• Rapid7根据潜在影响对漏洞的严重程度进行分类.
• Rapid7将根据严重性制定修复计划并实施修复. Rapid7通常会在漏洞验证后大约60天内准备和发布详细介绍新发现漏洞的建议.
• 对于被认为是低影响的漏洞, 那些漏洞是微不足道的，一个漏洞会对受影响的生产环境造成安全的可忽略的后果, 或者仅限于单个生产实例, 比如一个没有连接到的网站 关键基础设施, 或者只存在于理论或非常不可能的受影响系统的配置中, 不受60天期限的限制.
• Rapid7将与记者沟通建议的修复，并提供评论的机会. 
• 经与记者确认, 发行说明(以及发布时的博客文章)包括对商定的咨询信用的参考, 除非记者希望保持匿名.
• Rapid7在更新的发布说明中公开宣布了该漏洞. Rapid7也可能会发布额外的公告, 比如通过社交媒体, 我们的博客, 和媒体.

在这个过程中，Rapid7将努力让记者了解每一步. 我们对您的承诺是:

• 就信息披露的进展和状态保持公开的沟通和协调.
• 尊重记者的隐私和所披露的信息.
• 同意并遵守公开披露时间表.

我们非常感谢与我们分享安全问题信息的安全研究人员和发现者的努力, 让我们有机会改进产品和服务, 更好地保护我们的客户. 感谢您在上述过程中与我们合作. Rapid7不为披露漏洞提供经济补偿，也不参与漏洞赏金计划.