Chez Acquia nous prenons la sécurité de nos produits très au sérieux. Nous éduquons notre personnel sur les meilleures pratiques de sécurité et notre processus de développement comprend des mesures d'assurance de la qualité pour garantir que nos produits sont de haute qualité et sécurisés. Cependant, comme tous les produits logiciels complexes, il est possible qu'une faille de sécurité soit présente dans l'un de nos produits. Si vous découvrez un problème de sécurité ou une vulnérabilité dans un produit ou un service Acquia, nous vous demandons de nous en informer confidentiellement.
Veuillez envoyer les détails à notre équipe de sécurité à@acquiaSecurity. com. Nous apprécions la divulgation responsable et nous reconnaîtrons les chercheurs en sécurité lorsqu'un problème a été signalé, en adhérant aux paramètres suivants.
Acquia n'a pas actuellement de programme de primes de bogues en place, mais nous sommes heureux de créditer les chercheurs avec leur nom et un lien vers une adresse de leur choix (p. ex. Twitter ou site personnel) sur notre Hall of Fame ci-dessous.
Paramètres et exclusions
- Ne pas accéder, détruire ou nuire aux données d'Acquia ou de ses clients de quelque façon que ce soit.
- N'utilisez pas de scanneurs automatisés. (l'utilisation de scanneurs automatisés peut entraîner une action d'investigation et votre IP est bloquée.)
- Vous faites un effort de bonne foi pour éviter les violations de la vie privée et l'interruption ou la dégradation des services d'Acquia pendant vos recherches. ex. Déni de service)
- N'effectuer aucun type d'attaque physique ou électronique contre le personnel, les bureaux ou les centres de données d'Acquia.
- Vous permettez à Acquia le temps raisonnable d'enquêter sur votre rapport et de procéder à toute réhabilitation nécessaire.
- Ne violez aucune loi ou n'enfreignez aucun accord préalable.
Veuillez ne pas signaler les questions suivantes:
- Bannières logicielles affichées sur le serveur ou autres informations de version.
- Messages d'erreur descriptifs.
- En-têtes de sécurité http manquants. ex. X-Frame-options)
- Enregistrements SPF manquants ou incorrects.
- CSRF sur les formulaires disponibles pour les utilisateurs anonymes
- Énumération username/email
- Divulgation de fichiers publics connus. (p. ex. robots. txt)
Acquia n'entamera pas de poursuites judiciaires contre les chercheurs, pourvu qu'ils adhèrent à ces paramètres. Acquia se réserve le droit de ne créditer que les chercheurs qui ont signalé un problème éprouvé et suffisamment sévère.
Quels détails devez-vous inclure lors de la déclaration d'un problème de sécurité
S'il vous plaît fournir autant de détails pertinents que vous pouvez, tels que:
- Comment la vulnérabilité peut être exploitée et l'impact potentiel.
- Comment vous avez découvert la vulnérabilité et les étapes claires à reproduire.
- Toute preuve de concept d'attaque et/ou d'images montrant le vecteur d'attaque.
- Tous les correctifs ou contrôles connus pour atténuer la vulnérabilité.