Prendo sul serio la sicurezza dei miei utenti e dei loro dati. Se trovi una vulnerabilità in uno qualsiasi dei miei prodotti, ti incoraggio a segnalarla in modo responsabile in modo che io possa affrontarla in modo tempestivo. Di seguito è riportata la mia politica di sicurezza ufficiale, che include come segnalare problemi, cosa mi aspetto da te e cosa puoi aspettarti da me.
Segnalazione di una vulnerabilità
Se hai scoperto una vulnerabilità di sicurezza in una qualsiasi versione di Simple File List o nelle sue estensioni, contattami immediatamente per segnalare il problema:
Se non ricevi una risposta entro 24 ore, contattaci [email protected].
Per favore aiuto
Quando segnali una vulnerabilità, includi i seguenti dettagli:
- Una descrizione dettagliata della vulnerabilità e del suo potenziale impatto.
- Passaggi per riprodurre il problema.
- Eventuali screenshot, codice proof-of-concept o log applicabili.
La mia risposta
Dopo aver ricevuto una segnalazione di vulnerabilità, adotterò le seguenti misure:
- Riconoscimento: Riceverai conferma della tua segnalazione entro 24 ore.
- Valutazione: Valuterò la validità e la gravità del problema segnalato. Se saranno necessarie ulteriori informazioni, ti contatterò per chiarimenti.
- Cronologia della risoluzione: Il mio obiettivo è risolvere le vulnerabilità confermate il più rapidamente possibile, a seconda della complessità e della gravità del problema. Verrai informato dei miei progressi durante tutto il processo.
- Crediti: Se lo desideri, riconoscerò pubblicamente il tuo contributo una volta che il problema sarà risolto e reso pubblico, a meno che tu non richieda l'anonimato.
- Riservatezza: Vi chiedo di astenervi dal rendere pubblica la vulnerabilità finché non avrò avuto un lasso di tempo ragionevole per risolverla.
Linee guida per i ricercatori
Chiedo ai ricercatori sulla sicurezza di attenersi ai seguenti principi:
- Divulgazione responsabile: Vi prego di concedermi il tempo necessario per correggere le vulnerabilità prima di renderle pubbliche.
- Nessuno sfruttamento: Non sfruttare la vulnerabilità oltre quanto necessario per dimostrarne l'esistenza.
- Nessuna violazione dei dati: Non accedere, modificare o eliminare dati di proprietà di altri senza autorizzazione.
Ambito della Politica
Questa politica copre le vulnerabilità in:
- Elenco file semplice (SFL) Versioni gratuita e Pro
- Estensioni SFL Pro (ricerca, accesso, e-mail)
Le vulnerabilità nei servizi di terze parti (ad esempio, provider di web hosting o librerie utilizzate da SFL) sono al di fuori dell'ambito di questa politica. Tuttavia, se scopri una vulnerabilità correlata a servizi di terze parti, ti invito a segnalarla alle rispettive parti.
Riconoscimenti di sicurezza
Sono grato ai ricercatori della sicurezza che ci aiutano a migliorare i nostri prodotti.
Modifiche a questa politica
Potrei aggiornare questa politica di tanto in tanto. Eventuali modifiche saranno pubblicate su questo sito web.