披露政策。
如果你在任何 LuMiNx 系统或项目中发现了漏洞,以下是联系我们的方式——以及后续流程。
报告方式
请将报告发送至 security@luminx.one。我们暂未公布 PGP 密钥——如需加密信道,请在首封简短邮件中说明,我们会为你安排。在协调披露之前,请勿就已确认的漏洞在公开 Bug Tracker 中提交 Issue。
请包含:受影响的产品或端点、复现步骤、实际影响,以及可分享的日志或追踪信息。欢迎附上概念验证(PoC),但非必需。
范围
- 在范围内
- luminx.one 及其子域名,以及由 LuMiNx 运营的任何生产服务——包括我们运行的 OrbitID 与 MatrixFlare 实例。
- 不在范围内
- 我们链接但不运营的第三方服务、无实际影响证明的理论攻击、流量型拒绝服务攻击,以及仅影响过旧浏览器的发现。
流程
我们力求及时确认报告,并在调查过程中持续更新进度。我们与你协调披露时机,并在安全公告中致谢,除非你希望匿名。
我们暂无付费漏洞赏金计划。对于善意报告的研究者,我们乐意公开致谢,除非你希望保持匿名。
安全港
本着本政策善意进行的研究是获得授权的。只要你的行为与发现相称、避免影响他人服务、不超出证明影响所需而获取用户数据,并给予我们在公开前修复的合理时间,我们将不就你访问系统、绕过控制或测试软件的行为追究法律责任。
渠道
- 邮箱
- security@luminx.one
- PGP
- 暂未提供
- 加密聊天
- 按需提供