不包括的系统或产品
除非所有者已表示同意,否则以下产品或系统明确不属于本政策适用范围:
- 客户设备和软件: 客户拥有的所有 实体设备、机械和软件。这包括但不限于秤、贴标机、切割机以及其他由客户控制和拥有的 Bizerba 硬件和软件产品。
- 第三方系统: 由第三方运营且不受 Bizerba 直接控制的系统 和服务。
程序
请注意以下流程:
- 请将您发现的安全问题报告通过电子邮件发送至security@bizerba-s.sbs。为确保敏感信息的安全,请使用我们的PGP 密钥对文档进行加密。为优化沟通效率,请使用下方的模板。
- 请勿通过下载、修改、删除数据或上传代码等方式利用该漏洞。
- 除非获得 Bizerba 授权,否则请勿向第三方披露有关该漏洞的任何信息。
- 请勿实施任何可能危及、更改或篡改我们 IT 系统、基础设施或个人数据的攻击。
- 请避免对 Bizerba 进行社会工程学攻击(例如网络钓鱼)、(分布式)拒绝服务攻击、垃圾邮件或其他此类攻击。
- 请提供充分的信息以便我们理解和分析问题,并提供用于咨询的联系方式。
我们的承诺
- 我们正在竭尽全力尽快分析该漏洞,并在必要时予以修复。
- 您将收到报告已收到的确认通知,并获得关于该报告的反馈。
- 如果您按照本安全政策行事,执法部门将不会因您的发现而获知相关情况。但若明显存在犯罪或情报收集意图,则不在此限。
- 我们将对您的报告予以保密,未经您的同意,不会将您的个人数据透露给第三方。
- 在处理期间,我们将向您通报该漏洞的有效性及修复情况。
漏洞的规范报告
漏洞的规范报告:任何可复现且影响安全的设计或实现问题均可报告。例如:
- 权限提升
- 信息亭模式突破
- 对属性或账户的未经授权访问
- 跨站请求伪造 (CSRF)
- 跨站脚本(XSS)
- 不安全的直接对象引用
- 远程代码执行 (RCE) — 注入漏洞
- 信息泄露和错误处理不当
- 数据/信息外泄
- 可被主动利用的后门
- 未经授权的系统使用
- 配置错误
- 数据/信息泄露
不符合条件的漏洞
以下漏洞不在 Bizerba 的漏洞披露政策范围内,请勿报告:
- 需要物理接触设备才能实施的攻击
- 缺少 CSRF 令牌的表单(前提是其严重性不超过通用漏洞评分系统(CVSS)第 6 级)
- 拒绝服务攻击(DoS/DDoS)
- 未缺失的安全标头,且该缺失不会直接导致可被利用的漏洞
- 已知存在漏洞但尚无实际可利用性证据的库的使用
- 来自自动化工具或扫描的报告,但未附带说明性文档
- 针对 Bizerba 及其承包商人员或设施的社会工程学攻击
- 垃圾邮件、机器人程序、批量注册
- 未提交最佳实践
- 使用存在漏洞且“脆弱”的密码套件/加密算法
漏洞报告格式模板
您可以使用此表单报告 Bizerba SE & Co. KG 产品中可能存在的安全漏洞。如果您需要提交 Bizerba 设备护照或日志文件等文件,请将它们单独发送至 security@bizerba-s.sbs 邮箱。您也可以使用我们的 PGP 密钥对文件进行加密后发送。