洛克希德·马丁公司漏洞披露计划
关于我们的工作
我们认真对待我们的系统、资产、产品和平台的安全,我们重视安全社区。安全漏洞和问题的披露有助于我们确保用户的安全和隐私。如果您认为您在洛克希德·马丁公司面向公众的系统、资产、产品或平台中发现了漏洞,请通过下面描述的通信方法将漏洞信息提交给洛克希德·马丁公司。
常见问题
如何报告安全漏洞?
如果您认为在我们的某个面向公众的系统、资产、产品或平台中发现了安全漏洞,请将报告发送给我们洛克希德·马丁VDP.请在报告中包括以下细节:
- 对可能受漏洞影响的系统、资产、产品或平台的描述。
- 漏洞的潜在影响,以及如何发现潜在漏洞。
- 详细描述重现漏洞所需的步骤(如果可能的话用英文)(POC脚本、屏幕截图和压缩屏幕截图都对我们有帮助)。
- 你的联系方式。
所有参赛作品必须发送至上述电邮地址。
如果有效,洛克希德·马丁公司将在提交后的3个工作日内确认收到您的报告。
有奖励吗?
我们目前不为发现或bug提供经济补偿。
洛克希德·马丁公司的员工可以参与吗?
此漏洞披露过程旨在供非洛克希德·马丁公司的员工/承包商使用。洛克希德·马丁公司员工/承包商应联系他们的业务领域信息安全官,报告他们发现的任何漏洞。
的指导方针
与我们合作
我们要求所有研究人员和记者:
- 使用此处确定的通信渠道向我们报告漏洞信息。
- 遵守所有适用的美国和非美国。联邦,州和地方的法律法规,在进行研究活动时。
- 停止所有活动,并立即通知洛克希德·马丁公司,如果他们遇到个人信息/个人数据。
- 在任何情况下,都不要窃取、存储、共享、破坏或以其他方式破坏任何洛克希德·马丁公司、客户或任何第三方数据。
- 请勿执行任何可能降级或停止我们的系统、资产、产品和平台的操作,例如拒绝服务(DoS/DDoS)测试。
- 除了确定漏洞或问题存在所需的最小测试量之外,不利用任何潜在的漏洞。
- 如果在此报告或验证,请勿利用调查结果来列举或利用洛克希德·马丁公司、其他公司或个人。
- 脱离并避免可能伤害洛克希德·马丁公司员工、我们的客户、洛克希德·马丁公司或任何第三方的活动。
- 在我们至少有120天的时间来核实和解决问题之前,请将您发现的任何漏洞的信息保密。根据问题的复杂性和或范围,洛·马公司可自行决定延长这一期限。
如果你遵循上面列出的指导方针,洛克希德·马丁公司将不会对你的研究采取任何法律行动。
如果您有任何顾虑或不确定您的安全研究是否符合本政策,请通过我们的官方渠道提交报告(联系人锁定马丁VDP),然后再进一步。
预期
根据本政策与我们合作时,您可以期望我们:
- 及时确认你的报告。
- 与您一起理解并验证您的报告。
- 在我们的内部团队认为合适的情况下发表你在洛克希德·马丁公司的发现。
- 根据您的发现,酌情与您合作,解决更广泛的网络犯罪问题。
- 保持开放的对话来讨论问题。
安全港
洛克希德·马丁公司认为,根据本政策进行的安全研究和漏洞披露活动是根据《计算机欺诈和滥用法》和其他适用的计算机使用法律进行的“授权”行为。为了促进本政策下的信息披露,洛克希德·马丁公司将不会对意外或善意违反本政策的行为提起民事或刑事诉讼,或向执法部门发出通知。然而,洛克希德·马丁公司拥有唯一的权利来确定违反这一政策是偶然的还是出于善意。
我们希望您一如既往地遵守所有适用的美国法律和国际法律。万博手机app如果研究涉及第三方的信息、应用程序、产品或服务,洛克希德·马丁公司不能约束该第三方,他们可能会采取法律行动或向执法部门发出通知。洛克希德·马丁公司不授权以其他实体的名义进行研究,并且不能以任何方式为您提供辩护、赔偿或以其他方式保护您免受任何基于您的行为的第三方行动的影响。
洛克希德·马丁公司将审查你的报告,并确定你的发现是否有效。未经明确书面同意,公开披露任何已识别或潜在漏洞的细节将被视为不符合我们的提交准则,不受我们的安全港政策保护。
安全通信
如需以可验证的安全方式与我们联系,请使用PGP与我们联系。我们的指纹,验证我们的信息:
2 f9be9d2d2f61d83528641407b04b468fed0dca