协调漏洞披露声明

史丹利百得致力于确保我们的员工、承包商、客户和其他使用我们产品和服务的人的安全。作为这一承诺的一部分,我们已经建立了一个协调的漏洞披露计划,为我们的数字产品和信息系统提供指导。

我们认识到,安全研究人员社区经常为组织和更广泛的互联网安全做出有价值的贡献,与社区建立密切的关系将有助于提高我们自身的安全。我们鼓励您向我们披露史丹利百得数字产品、网站或网络应用程序中的任何漏洞。

史丹利百得漏洞披露政策

目的

本政策旨在为安全研究人员提供明确的指导方针,指导他们针对史丹利百得的数字产品和信息系统开展漏洞发现活动,并将发现的漏洞提交给史丹利百得。

概述

安全研究人员社区经常为组织和更广泛的互联网安全做出有价值的贡献,而史丹利百得认识到,与社区建立密切的关系将有助于提高我们自身的安全。

根据本政策提交给史丹利百得的信息将用于防御目的——减轻或补救我们的数字产品、网络或应用程序或我们供应商的应用程序中的漏洞。

观众

本政策仅适用于参与安全研究测试过程并与史丹利百得共享结果的安全研究人员的活动。

范围

由史丹利百得拥有、运营或控制的任何数字产品、面向公众的网站或网络API,包括托管在这些产品和网站上的网络应用程序。

如何提交报告

请提供漏洞的详细摘要,包括:

  • 问题类型
  • 包含错误的软件的数字产品、版本和配置
  • 复制问题的逐步说明
  • 概念验证
  • 问题的影响
  • 酌情建议的缓解或补救行动。

的指导方针

史丹利百得将与那些根据本指南发现、测试和提交漏洞或漏洞指标的研究人员真诚合作。请将您的活动限制在以下范围:

  • 检测漏洞或识别与漏洞相关的指标的测试;或
  • 披露史丹利百得的漏洞、缺陷或缺陷。

此外,我们要求您在测试过程中注意以下事项:

  • 您的研究行为不应损害或利用您识别的任何漏洞或任何现有已发布的漏洞。
  • 您的研究行动必须避免访问或检索任何史丹利百得传输数据和静止数据的内容。
  • 在任何情况下都不应该泄露任何数据。
  • 您不应损害史丹利百得员工或任何第三方的隐私或安全。
  • 您不应故意损害任何史丹利百得人员或实体或任何第三方的知识产权或商业利益。
  • 史丹利百得公司支持信息披露以教育安全社区。如果您确实发表了您的作品,请编辑所有涉及史丹利百得公司名称的内容,以及其中任何其他敏感或识别材料,除非我们获得了使用这些内容的书面许可。
  • 您不应该进行拒绝服务(DoS)或分布式拒绝服务(DDoS)测试。
  • 您不应对史丹利百得员工或承包商进行任何类型的社会工程,包括鱼叉式网络钓鱼或勒索软件。
  • 你不应该提交大量低质量的报告。

如果在任何时候您不确定是否继续测试,请与我们的团队联系。

你能从我们这里期待什么

我们认真对待每一份报告,并感谢安全研究人员的努力。我们将努力调查每一份报告,以确保采取适当的步骤来降低风险并修复报告的漏洞。

史丹利百得拥有独特的信息和通信技术足迹,紧密交织并在全球部署。在调查任何漏洞的影响,然后提供补救计划时,史丹利百得必须格外小心。在我们的补救计划过程中,我们恳请您在此期间耐心等待。

我们将在七个工作日内确认收到您的报告。

史丹利百得的安全团队将对提交的报告进行调查。请记住,我们可能会与您联系以获得进一步的信息。我们将尽最大努力与您沟通,确认漏洞的存在。随着漏洞修复的进展,我们将酌情通知研究人员。

如有必要,如果我们无法解决任何沟通问题或任何其他问题,史丹利百得可调用中立第三方的服务来帮助解决任何问题。

法律

您必须遵守所有适用的国际、联邦、州和地方法律,包括与您的安全研究活动或以其他方式参与此漏洞披露计划有关的适用数据保护法。

史丹利百得不授权、允许或以其他方式明确或一般允许任何人(包括任何个人、个人团体、财团、合伙企业或任何其他企业或法律实体)从事与本政策或法律不一致的任何安全研究或漏洞或威胁披露活动。如果您从事任何与本政策或法律不一致的活动,您可能要承担刑事和/或民事责任。

您同意,未经Stanley Black & Decker事先书面同意,在以下任何情况下,您不得(i)在广告、宣传或其他方面使用Stanley Black & Decker或其关联公司的名称,或Stanley Black & Decker或其关联公司拥有的任何商号、商标、贸易设备、服务标志、符号或其任何缩写、缩写或模拟,或(ii)直接或间接代表,经史丹利百得或其关联公司批准或背书,由您提供的任何服务或工作。

您同意,您在本次活动中获取或访问的任何个人身份信息以及任何其他公司信息(您发现的漏洞除外)均为史丹利百得的机密信息。贵方应严格保密该等保密信息,不得复制、复制、出售、转让、许可、营销、转让或以其他方式处置该等信息,不得向第三方提供或披露该等信息,也不得将该等信息用于履行安全研究工作以外的任何目的。

点击“提交报告”,即表示您已阅读、理解并同意本政策中所述的有关进行安全研究和披露与史丹利百得数字产品和信息系统相关的漏洞或漏洞指标的指导方针,并同意存储通信和后续通信的内容。

安全港

如果您按照本政策中规定的限制和指导方针开展安全研究和漏洞披露活动,史丹利百得将不会发起或建议与此类活动相关的任何执法或民事诉讼。如果任何安全研究或漏洞披露活动涉及非史丹利百得实体(如Craftsman持牌人或史丹利供应商)的产品、网络、系统、信息、应用程序、产品或服务,史丹利百得将采取措施,告知您的活动是根据本协议进行的

史丹利百得可随时修改本保单条款或终止本保单。

最初发布日期:2019年7月

最后更新:2020年9月