洛克希德·马丁公司漏洞披露计划
关于我们的工作
我们认真对待我们的系统、资产、产品和平台的安全,我们重视安全社区。披露安全漏洞和问题有助于我们确保用户的安全和隐私。如果您认为您在洛·马公司面向公众的系统、资产、产品或平台中发现了漏洞,请通过下面描述的通信方式将漏洞信息提交给洛·马公司。
常见问题(FAQ)
如何报告安全漏洞?
如果您认为您在我们的公共系统、资产、产品或平台中发现了安全漏洞,请通过提交报告的方式发送给我们洛克希德·马丁公司VDP.请在你的报告中包括以下细节:
- 对可能受漏洞影响的系统、资产、产品或平台的描述。
- 漏洞的潜在影响,以及如何发现潜在漏洞。
- 详细描述再现漏洞所需的步骤(如果可能的话用英文)(POC脚本、截图和压缩屏幕截图都对我们有帮助)。
- 你的联系信息。
所有投稿必须通过上述电子邮件地址发送。
如果有效,洛·马公司将在提交后3个工作日内确认收到您的报告。
有奖励吗?
我们目前不会对发现或bug进行经济补偿。
洛克希德·马丁公司的员工可以参加吗?
此漏洞披露过程旨在供非洛·马公司雇员/承包商使用。洛·马公司的雇员/承包商应该联系他们的业务区域信息安全官,报告他们发现的任何漏洞。
的指导方针
与我们合作
我们要求所有研究人员和记者:
- 使用这里确定的通信通道向我们报告漏洞信息。
- 遵守所有适用的美国和非美国法律。联邦,州和地方的法律法规,当进行他们的研究活动。
- 停止所有活动,并立即通知洛·马公司,如果他们遇到个人信息/个人数据。
- 在任何情况下,不要泄露、存储、共享、破坏或以其他方式破坏任何洛克希德·马丁公司、客户或任何第三方的数据。
- 不要执行任何可能降级或停止我们的系统、资产、产品和平台的操作,例如拒绝服务(DoS/DDoS)测试。
- 在确定漏洞或问题存在所需的最小测试量之外,不利用任何潜在漏洞。
- 不利用调查结果,如果报告或验证在这里,列举或利用洛克希德·马丁公司,其他公司或个人。
- 脱离并避免可能伤害洛·马公司员工、我们的客户、洛·马公司或任何第三方的活动。
- 在我们至少有120天的时间来验证和解决问题之前,请将您发现的任何漏洞的信息保密给洛·马公司。根据问题的复杂性和或范围,洛·马公司可自行决定延长这一期限。
如果您遵循上面列出的指导方针,洛·马公司将不会对您的研究采取任何法律行动。
如果您在任何时候有顾虑或不确定您的安全研究是否符合本政策,请通过我们的官方渠道提交报告(联系锁定的马丁VDP),然后再继续。
预期
当您根据本政策与我们合作时,您可以期望我们:
- 及时确认你的报告。
- 和你一起理解和验证你的报告。
- 我们的内部团队认为您在洛·马公司的发现是合适的。
- 与您合作,根据您的调查结果,酌情解决更广泛的网络犯罪。
- 保持开放的对话来讨论问题。
安全港
洛·马公司认为按照本政策进行的安全研究和漏洞披露活动是根据《计算机欺诈和滥用法》和其他适用的计算机使用法律“授权”进行的。为促进本政策下的信息披露,洛·马公司将不会追究民事或刑事诉讼,也不会就意外或善意违反本政策的行为向执法部门发出通知。然而,洛克希德·马丁公司拥有唯一的权利来确定违反这一政策是偶然的还是出于善意。
你必须一如既往地遵守所有适用的美国法律和国际法律。万博手机app如果研究涉及第三方的信息、应用程序、产品或服务,洛克希德-马丁公司不能约束该第三方,他们可以采取法律行动或向执法部门提供通知。洛·马公司不授权以其他实体的名义进行研究,也不能以任何方式为您提供辩护、赔偿或保护您免受基于您的行为的任何第三方行动的伤害。
洛·马公司将审查你的报告,并确定你的发现是否有效,是否之前没有报告过。未经明确书面同意,公开披露任何已识别或潜在漏洞的细节将被视为不符合我们的提交指南,不受我们的安全港政策的保护。
安全通信
如需以可验证的安全方式与我们沟通,请使用PGP与我们联系。我们验证信息的指纹:
2 f9be9d2d2f61d83528641407b04b468fed0dca