漏洞披露政策
最後更新:07.03.2026
簡介
[ MECANIK DEV ] 認真對待其系統和服務的安全性。我們重視安全研究人員的工作,他們幫助我們改善安全態勢。
本政策描述了如何向我們回報漏洞以及您可以期待得到的回應。
範圍
本政策適用於以下網域和服務:
- mecanik.dev
- members.mecanik.dev
- api.mecanik.dev
回報漏洞
如果您認為在我們的任何系統中發現了安全漏洞,請透過以下電子郵件向我們回報:
請在報告中包含以下內容:
- 漏洞描述
- 重現問題的步驟
- 漏洞的潛在影響
- 概念驗證程式碼(如有)
可以期待的內容
- 確認:我們將在3個工作天內確認收到您的報告。
- 評估:我們將調查並驗證所回報的漏洞。
- 更新:我們將向您通報進展情況。
- 解決:我們致力於盡快解決嚴重漏洞。
- 認可:經您許可,我們將在安全致謝 頁面上致謝您的貢獻。
指導方針
我們要求安全研究人員:
- 盡一切努力避免侵犯隱私、破壞資料和中斷服務。
- 僅與您擁有的帳戶或經帳戶持有人明確許可的帳戶進行互動。
- 不要超出展示漏洞所必要的範圍進行利用。
- 及時回報漏洞,並在公開披露前給予我們合理的時間進行處理。
- 不要對我們的員工或基礎設施進行社會工程學攻擊、網路釣魚或物理攻擊。
安全港
我們認為按照本政策進行的安全研究:
- 根據適用的反駭客法律獲得授權。
- 豁免於DMCA關於規避技術控制的限制。
我們不會對遵守本政策的研究人員採取法律行動。
排除事項
以下內容不在範圍之內:
- 拒絕服務攻擊
- 社會工程學攻擊
- 物理攻擊
- 垃圾郵件或網路釣魚活動
- 不在我們控制下的第三方軟體或服務中的漏洞