漏洞披露政策

最後更新:07.03.2026

簡介

[ MECANIK DEV ] 認真對待其系統和服務的安全性。我們重視安全研究人員的工作,他們幫助我們改善安全態勢。

本政策描述了如何向我們回報漏洞以及您可以期待得到的回應。

範圍

本政策適用於以下網域和服務:

  • mecanik.dev
  • members.mecanik.dev
  • api.mecanik.dev

回報漏洞

如果您認為在我們的任何系統中發現了安全漏洞,請透過以下電子郵件向我們回報:

[email protected]

請在報告中包含以下內容:

  • 漏洞描述
  • 重現問題的步驟
  • 漏洞的潛在影響
  • 概念驗證程式碼(如有)

可以期待的內容

  • 確認:我們將在3個工作天內確認收到您的報告。
  • 評估:我們將調查並驗證所回報的漏洞。
  • 更新:我們將向您通報進展情況。
  • 解決:我們致力於盡快解決嚴重漏洞。
  • 認可:經您許可,我們將在安全致謝 頁面上致謝您的貢獻。

指導方針

我們要求安全研究人員:

  • 盡一切努力避免侵犯隱私、破壞資料和中斷服務。
  • 僅與您擁有的帳戶或經帳戶持有人明確許可的帳戶進行互動。
  • 不要超出展示漏洞所必要的範圍進行利用。
  • 及時回報漏洞,並在公開披露前給予我們合理的時間進行處理。
  • 不要對我們的員工或基礎設施進行社會工程學攻擊、網路釣魚或物理攻擊。

安全港

我們認為按照本政策進行的安全研究:

  • 根據適用的反駭客法律獲得授權。
  • 豁免於DMCA關於規避技術控制的限制。

我們不會對遵守本政策的研究人員採取法律行動。

排除事項

以下內容不在範圍之內:

  • 拒絕服務攻擊
  • 社會工程學攻擊
  • 物理攻擊
  • 垃圾郵件或網路釣魚活動
  • 不在我們控制下的第三方軟體或服務中的漏洞