报告A漏洞
请不要共享自动扫描器的批量报告。在将这些发现提交给JFrog之前,应该由安全从业者对其进行审查和验证。
如果您认为您发现了安全问题,请使用以下方法之一向JFrog报告:
客户:
请通过我们的支持门户.
安全研究人员:
请通过我们的漏洞披露计划由HackerOne管理。
Bug赏金计划
我们还有一个由HackerOne管理的私人漏洞赏金计划。如果您认为在JFrog平台(SaaS和on-prem)中发现了一个漏洞,您可以通过发送电子邮件请求加入该计划security@m.si-fil.com带有漏洞的摘要。
漏洞披露理念
所有提交的报告都是保密的,我们会根据严重程度来处理。请不公开披露这个问题直到我们评估其影响并降低风险。
赏金将只授予通过我们的漏洞赏金计划提交漏洞的研究人员。
漏洞报告应包括以下信息:
- 漏洞摘要
- 漏洞范围:产品及其版本或云服务
- 漏洞问题类型,例如远程代码执行、XSS或SQL注入
- 繁殖的步骤
- 任何一个概念验证
- 支持材料/参考资料
- 漏洞的潜在影响
