负责信息披露政策

Hindawi欢迎社区对其产品、平台和网站的反馈。我们的负责任披露政策允许安全测试由社区中的任何人在规定的合理标准内进行，并对这些结果进行安全交流。如果您在Hindawi的产品、平台或网站上发现任何漏洞，请通过以下网站向Hindawi报告安全@hindawi.com使用这个PGP的关键(哈希:5 b380bf70348efc7adca2143712c7e19c1658d1c)

天工异彩的发展和我们的新网站依赖于社区驱动的解决方案和协作。我们的平台建立在开源软件上，并从我们所服务的社区的反馈中受益。

我们欢迎您的支持，以帮助我们解决任何安全问题，既改善我们的产品，也保护我们的用户。

对于通过我们要求的渠道提交漏洞报告并遵守本政策要求的个人或公司，我们同意不采取法律行动除非监管机构、其他第三方或适用法律迫使我们这样做。

负责任披露政策不包括以下内容(请注意，此清单并非详尽无遗):

• 采取任何会对Hindawi及其子公司或代理造成负面影响的行动。
• 保留在任何媒体中发现的任何个人身份信息。发现的任何个人身份信息必须被永久销毁或从您的设备和存储中删除。
• 向任何第三方披露任何被发现的个人身份信息。
• 破坏或破坏数据、信息或基础设施，包括任何企图这样做的行为。
• 发现依赖于任何类型的社会工程技术(任何与Hindawi相关或为Hindawi工作的人的口头或书面交流)。
• 任何利用行为，包括访问或试图访问Hindawi的数据或信息，超出最初的“漏洞证明”的要求。这意味着您获取和验证漏洞证明的操作必须在初始访问数据或系统后立即停止。
• 攻击第三方服务。
• 拒绝服务攻击或分布式拒绝服务攻击。
• 任何试图进入欣达维财产或数据中心的行为。
• 当发现漏洞时，使用未拥有或未获授权或许可使用的资产。
• 在发现或报告任何漏洞的过程中违反任何法律或协议。

范围外的漏洞

• 用自动化工具(包括网络扫描器)识别的漏洞，不包括概念证明代码或已证明的漏洞利用。
• 与Hindawi集成或链接的第三方应用程序、网站或服务。
• 发现任何正在使用的服务(例如，易受攻击的第三方代码)，其运行版本包含已知的漏洞，但没有显示现有的安全影响。

首选项、优先级和接受标准

我们将使用以下标准对提交的文件进行优先排序和分类。

我们希望从你那里看到:

• 用英文写得好的报告解决问题的机会更大。
• 包含概念验证代码的报告使我们能够更好地进行分类。
• 只包含崩溃转储或其他自动化工具输出的报告可能会获得较低的优先级。
• 包含不在初始范围列表中的产品的报告可能会获得较低的优先级。
• 请包括您是如何发现bug的，影响，以及任何可能的补救措施。
• 请包括任何计划或意图公开披露。

您对我们的期望是:

• 及时回复你的邮件。
• 分类后，我们将发送一个预期的时间表，并承诺尽可能透明的补救时间表，以及可能延长它的问题或挑战。
• 讨论问题的公开对话。
• 当漏洞分析完成我们审查的每个阶段时发出通知。

Hindawi保留其所有权利，特别是对于不符合本负责任披露政策的漏洞发现。本负责任信息披露政策于2020年10月1日生效，并将定期审查和更新;在采取任何行动之前，请将此页加入书签并检查最新版本的政策。