漏洞披露政策
最后更新:07.03.2026
简介
[ MECANIK DEV ] 认真对待其系统和服务的安全性。我们重视安全研究人员的工作,他们帮助我们改善安全态势。
本政策描述了如何向我们报告漏洞以及您可以期待得到的回应。
范围
本政策适用于以下域名和服务:
- mecanik.dev
- members.mecanik.dev
- api.mecanik.dev
报告漏洞
如果您认为在我们的任何系统中发现了安全漏洞,请通过以下电子邮件向我们报告:
请在报告中包含以下内容:
- 漏洞描述
- 重现问题的步骤
- 漏洞的潜在影响
- 概念验证代码(如有)
可以期待的内容
- 确认:我们将在3个工作日内确认收到您的报告。
- 评估:我们将调查并验证所报告的漏洞。
- 更新:我们将向您通报进展情况。
- 解决:我们致力于尽快解决严重漏洞。
- 认可:经您许可,我们将在安全致谢 页面上致谢您的贡献。
指导方针
我们要求安全研究人员:
- 尽一切努力避免侵犯隐私、破坏数据和中断服务。
- 仅与您拥有的账户或经账户持有人明确许可的账户进行交互。
- 不要超出演示漏洞所必要的范围进行利用。
- 及时报告漏洞,并在公开披露前给予我们合理的时间进行处理。
- 不要对我们的员工或基础设施进行社会工程学攻击、网络钓鱼或物理攻击。
安全港
我们认为按照本政策进行的安全研究:
- 根据适用的反黑客法律获得授权。
- 豁免于DMCA关于规避技术控制的限制。
我们不会对遵守本政策的研究人员采取法律行动。
排除事项
以下内容不在范围之内:
- 拒绝服务攻击
- 社会工程学攻击
- 物理攻击
- 垃圾邮件或网络钓鱼活动
- 不在我们控制下的第三方软件或服务中的漏洞