BlackBerry 协调漏洞披露政策

BlackBerry 协调漏洞披露政策

BlackBerry 我们致力于不断提高产品的安全性,并努力在产品投放市场前主动发现和消除潜在漏洞。

然而,尽管我们尽了最大努力,我们的产品和网站仍会不时出现漏洞。我们承认并与发现者合作,他们发现并向BlackBerry 报告这些漏洞,以便我们对这些漏洞进行补救。

为了与这些贡献者建立有效的合作伙伴关系,我们记录了这份BlackBerry 协调漏洞披露政策,以促进合作和外部漏洞报告。

这项政策的主要启示包括

  • 漏洞报告程序包括当前支持的产品。
  • BlackBerry 将与根据一些标准准则测试和提交漏洞的查找者真诚合作。
  • BlackBerry产品安全事故响应小组 (BBPSIRT) 将与发现者合作,确定协调披露漏洞的途径。
  • 如果未遵守BlackBerry 协调漏洞披露政策和所有适用法律,BlackBerry 保留采取所有适用补救措施的权利。

范围

漏洞报告程序包括BlackBerry 、我们的子公司和我们的网站目前支持的产品。

要确定BlackBerry 产品是否受支持,请参阅BlackBerry 软件支持生命周期

谁应该阅读本政策?

所有发现、测试和提交BlackBerry 支持的产品或BlackBerry 网站漏洞的查找者都应阅读本政策。 

我们对寻找者的期望

我们将真诚地与根据以下准则测试和提交漏洞的发现者合作。

BlackBerry 完全支持以下安全测试 

  • 以保护我们所有客户和合作伙伴的安全和隐私的方式开展工作
  • 遵守与安全测试活动有关的所有适用法律和法规的完整性
  • 尊重并遵守与BlackBerry 的现有协议以及涉及BlackBerry知识产权的合同条款
  • 仅在本政策规定的范围内进行研究
  • 在披露时向BlackBerry 提供安全问题的全部细节
  • 让BlackBerry 有机会在公开披露漏洞或向其他第三方披露漏洞之前采取纠正措施 

如何提交漏洞

如果您怀疑发现了BlackBerry 产品或网站中的安全漏洞,请通过安全@blackberry.com 联系BlackBerry PSIRT (BBPSIRT) 告诉我们。

提交漏洞时,请提供完整的详细信息。

这包括

  • 受影响产品的名称、版本和配置详细信息、
  • 参与发现漏洞的所有发现者的姓名、
  • 对漏洞及其发现环境的描述、
  • 重现漏洞的详细步骤,以及
  • 演示概念验证 (PoC) 的截图或视频

查找者可以期望 BBPSIRT 做什么

 BBPSIRT 将

  • 在 3 个北美工作日内,确认拾金不昧者的报告,在我们的案件管理系统中立案,并指派一名案件管理员跟踪调查情况
  • 全面调查关于当前受支持的BlackBerry 产品或网站存在独特漏洞的首例报告
  • 验证报告的漏洞。在此阶段,我们可能会联系发现者以提供更多信息
  • 通过个案经理与发现者沟通,确认漏洞的存在,并在适用的情况下,确认相关的补救计划
  • 漏洞修复后,向发现者通报详细信息,并
  • 在我们的网站上公开承认发现者。BBPSIRT 将对初始报告中列出的发现者或 BBPSIRT 直接与之合作解决漏洞的发现者给予奖励。

BBPSIRT 协调披露和漏洞发布

BBPSIRT 为受支持的BlackBerry 产品发布安全公告,并将与查找者合作确定协调披露漏洞的最佳途径,其中可能包括为受支持的BlackBerry 产品发布安全公告。安全公告将公开发布并在我们的网站上公布。

一旦支持版本的产品发布了修复漏洞的软件更新,我们就会发布通告。对于某些产品(如 QNX®RTOS ),在公开共享并在我们的网站上发布之前,我们会向客户发布非公开通知。这样做是为了确保使用这些产品的客户有机会将我们的漏洞修复程序纳入他们的软件,并发布自己的软件维护版本。

法律声明

BlackBerry 公司将认真履行确保其产品安全的义务,承认并欢迎安全研究团体为这些工作带来的巨大价值,并将始终寻求与任何根据BlackBerry 既定准则和BlackBerry 协调漏洞披露政策报告漏洞的人真诚合作。 

在进行与BlackBerry 产品和服务相关的安全研究活动时,包括在提交BlackBerry 安全漏洞报告时,您必须遵守BlackBerry 协调漏洞披露政策和所有适用法律。如果需要和/或经BlackBerry 调查,我们确定您未遵守本政策或任何适用法律,BlackBerry 保留采取所有适用补救措施的权利,包括根据司法管辖区的适用民事和/或刑事法律采取的补救措施。

BlackBerry 进一步保留随时更新本政策的权利,恕不另行通知,以确保本政策与不断变化的技术、适用法律和BlackBerry 商业惯例保持同步。

BlackBerry 协调漏洞披露政策的这一版本取代以前的所有版本,本政策的所有方面如有变更,恕不另行通知,也可能出现个案例外情况。BlackBerry 将尽一切努力协调所有级别的参与,但不能保证特定级别的响应。