负责任披露政策

在 DFDS，我们非常重视安全。本文档概述披露安全漏洞的安全程序和一般政策。如果您正在考虑向我们（以下称“本组织”）报告漏洞，我们建议您在报告之前完整阅读本漏洞披露政策。

虽然我们重视花时间和精力根据本政策报告安全漏洞的人士，但请注意，我们不会为漏洞披露提供金钱奖励。

如果您认为自己发现了安全漏洞，请使用以下电子邮件向我们提交报告：security@dfds.com。

请在您的报告中提供以下详细信息：

• 可以观察到漏洞的网站、Git 存储库、IP 或页面。

• 对漏洞类型的简要描述（例如“XSS 漏洞”）。

• 复制披露信息的步骤。

请确保您的测试是良性、非破坏性，或可作为概念证明。

这些信息有助于确保快速准确地对报告进行分类。

在您提交报告后，我们将在 5 个工作日内回复，并争取在 15 个工作日内对您的报告进行分类。我们将随时向您通报进展情况。修复的优先级将根据影响、严重程度和漏洞利用的复杂性进行评估。我们欢迎您查询状态，但请避免每 14 天查询一次以上，以便我们的团队专注于修复工作。

当报告的漏洞得到修复后，我们会通知您，并可能邀请您确认解决方案是否充分覆盖了漏洞。一旦您的漏洞得到解决，我们欢迎您要求公开您的报告。我们的目标是为受影响的用户提供统一的指导，因此请继续与我们协调公开发布事宜。

您不得：

• 违反任何适用的法律或法规。

• 访问不必要、过多或大量的数据。

• 修改本组织系统或服务中的数据。

• 使用高强度侵入性或破坏性扫描工具查找漏洞。

• 尝试或报告任何形式的拒绝服务，例如，因大量请求而导致服务不堪重负。

• 破坏本组织的服务或系统。