Wytyczne programu odpowiedzialnego ujawniania informacji Malwarebytes

Odpowiedzialne i nieodpowiedzialne ujawnianie informacji

Z naszego doświadczenia wynika, że (a) publiczne ujawnienie sprawdzonego kodu exploita, (b) niepotrzebne szczegóły w celu przedstawienia sprawy lub (c) ujawnienie szczegółów luki przed udostępnieniem poprawki stanowi nieodpowiedzialne ujawnienie, które przynosi więcej szkody niż pożytku, ponieważ niepotrzebnie zwraca uwagę na kwestię bezpieczeństwa. W związku z tym program Malwarebytes CVD będzie przyznawał nagrody za błędy wyłącznie zgłaszającym, którzy postępują zgodnie z wytycznymi dotyczącymi odpowiedzialnego ujawniania informacji.

Co rozumiemy przez Bug Bounty?

Malwarebytes nagrody pieniężne za najciekawsze błędy. Kwota przyznawana za interesujące błędy zależy od ich powagi i możliwości wykorzystania. Malwarebytes jednak prawo do zwiększenia tej kwoty w poszczególnych przypadkach. Dodatkowo, błędy CVE są przypisywane i wymienione na malwarebytes.

Jakie zobowiązania do zachowania poufności podejmuję przekazując zgłoszenie?

Jeśli wyślesz nam zgłoszenie do tego programu, zgadzasz się, że nigdy nie ujawnisz działającego kodu exploita (w tym plików binarnych tego kodu) dla odpowiedniej luki w zabezpieczeniach żadnemu innemu podmiotowi, dopóki poprawka nie zostanie potwierdzona, chyba że Malwarebytes udostępni ten kod publicznie lub jesteś zobowiązany przez prawo do jego ujawnienia. Nie uniemożliwia to omawiania podatności lub pokazywania efektów exploita w kodzie.

Jakie rodzaje luk w zabezpieczeniach akceptuje program CVD?

Postępuj zgodnie z wytycznymi programu HackerOne.

Ostatnio edytowano 13 sierpnia 2025 r.