安全

协调漏洞披露声明

Stanley Black&Decker致力于确保员工,承包商,客户和使用我们产品和服务的其他人的安全和安全性。作为这一承诺的一部分,我们建立了协调漏洞披露计划,为我们的数字产品和信息系统提供指导。

我们认识到,安全研究人员社区经常为组织和更广泛的互联网的安全做出有价值的贡献,培养与社区的密切关系将有助于提高我们自己的安全。我们鼓励您向我们披露Stanley Black & Decker数字产品、网站或web应用程序中的任何漏洞。

Stanley Black & Decker漏洞披露政策

目的

本政策旨在为安全研究人员提供明确的指导方针,指导他们针对Stanley Black & Decker的数字产品和信息系统进行漏洞发现活动,并将发现的漏洞提交给Stanley Black & Decker。


概述

安全研究人员社区经常为组织和更广泛的互联网的安全做出有价值的贡献,Stanley Black & Decker认识到,培养与社区的密切关系将有助于提高我们自己的安全。

根据本政策提交给Stanley Black & Decker的信息将用于防御目的——以减轻或纠正我们的数字产品、网络或应用程序,或我们供应商的应用程序中的漏洞。


观众

本政策仅适用于参与安全研究测试过程的安全研究人员的活动,目的是与Stanley Black & Decker共享结果。


范围

由Stanley Black & Decker拥有、运营或控制的任何数字产品、面向公众的网站或web API,包括托管在这些产品和网站上的web应用程序。


如何提交报告

请提供该漏洞的详细摘要,包括:

  • 类型的问题
  • 包含错误的软件的数字产品、版本和配置
  • 一步一步的指令来重现问题
  • 概念验证
  • 问题的影响
  • 酌情建议的缓解或补救行动。


的指导方针

Stanley Black & Decker将与发现、测试和提交漏洞或漏洞指标的研究人员真诚合作,根据这些指导方针。请将您的活动限制在以下范围:

  • 检测漏洞或识别与漏洞相关的指标的测试;或
  • 向Stanley Black & Decker揭露弱点、缺陷或缺陷。

此外,我们要求您在测试期间考虑以下事项:

  • 您的研究行动不应损害或利用您识别的任何漏洞或任何已发布的漏洞。
  • 您的研究行动必须避免访问或检索任何Stanley Black & Decker传输中的数据和静止数据的内容。
  • 在任何情况下,你都不应该窃取任何数据。
  • 您不应危及Stanley Black & Decker人员或任何第三方的隐私或安全。
  • 您不应故意损害任何史丹利百德人员或实体或任何第三方的知识产权或商业利益。
  • Stanley Black和Decker支持在教育安全社区的努力中披露信息。如果您确实发表了您的作品,请编辑所有提及斯坦利·布莱克和德克尔的名字,以及任何其他敏感或可识别的材料,除非我们给予书面许可使用它。
  • 您不应该进行拒绝服务(DoS)或分布式拒绝服务(DDoS)测试。
  • 您不应对Stanley Black & Decker人员或承包商进行任何类型的社会工程,包括鱼叉式网络钓鱼或勒索软件。
  • 你不应该提交大量低质量的报告。

如果您在任何时候不确定是否继续测试,请与我们的团队联系。


你能从我们这里期待什么

我们认真对待每一份报告,并欣赏安全研究人员的努力。我们将努力调查每份报告,以确保采取适当的步骤来缓解风险和修复报告的漏洞。

Stanley Black & Decker拥有独特的信息和通信技术足迹,紧密交织在一起,并在全球部署。在调查任何漏洞的影响并提供补救计划时,Stanley Black & Decker必须格外小心。在我们的补救计划过程中,我们恳求您在此期间的耐心。

在7个工作日内,我们将确认收到你的报告。

Stanley Black & Decker的安全团队将调查提交的报告。请记住,我们可能会与您联系以获得进一步的信息。我们将尽我们所能,通过与您沟通来确认漏洞的存在。随着漏洞修复的进展,我们将酌情通知研究人员。

如有必要,如果我们无法解决任何沟通问题或任何其他问题,则Stanley Black & Decker可调用中立第三方的服务来帮助解决任何问题。


法律

您必须遵守所有适用的国际、联邦、州和当地法律,包括与您的安全研究活动或本漏洞披露计划的其他参与有关的适用的数据保护法。

史丹利百得公司不授权,许可,或明确或通常允许任何人,包括任何个人、群体的个体,财团,伙伴关系,或任何其他业务或法律实体参与任何安全研究或脆弱性、威胁信息披露活动与此并不一致的政策和法律。如果您从事任何与本政策或法律不一致的活动,您可能会承担刑事和/或民事责任。

您同意,未经Stanley Black & Decker事先书面同意,您不得(i)在每次广告、宣传或以其他方式使用Stanley Black & Decker或其关联公司的名称或任何商号、商标、贸易装置、服务标志、符号或任何缩写,或(ii)直接或间接代表经Stanley Black & Decker或其关联公司批准或认可的您提供的任何服务或工作。

您同意,作为本次活动的一部分,您获得或访问的任何个人身份信息以及任何其他公司信息(您发现的漏洞除外)均为Stanley Black & Decker保密。您应严格保密该等机密信息,不得复制、复制、出售、转让、许可、营销、转让或以其他方式处置该等信息,将该等信息提供或披露给第三方,或将该等信息用于除执行您的安全研究工作以外的任何目的。

点击“提交报告”,您的意思是,您已阅读、理解并同意本政策中描述的有关斯坦利百德数码产品和信息系统的安全研究和漏洞披露或漏洞指标的指导方针,并同意将通讯内容及后续通讯内容储存。


安全港

如果您按照本政策中规定的限制和指导方针进行安全研究和漏洞披露活动,Stanley Black & Decker将不会发起或建议任何与此类活动相关的执法或民事诉讼。在任何安全研究或漏洞披露活动涉及非Stanley Black & Decker实体(如Craftsman许可方或Stanley供应商)的产品、网络、系统、信息、应用程序、产品或服务的范围内,史丹利百德公司将采取措施,让大家知道你们的活动是根据并遵守此规定进行的

史丹利百德可随时修改本保单的条款或终止本保单。

原始出版:2019年7月

最后更新:2020年9月