漏洞揭露政策

簡介

JLL 竭誠與客戶合作,為企業房地產共創更明亮的未來。其中包括:確保企業系統安全,以及保護客戶和合作夥伴委託的資料。此政策旨在提供安全研究者明確指引,協助其發現漏洞,並瞭解發現漏洞後,我們偏好的資訊提交方式。

請注意:JLL 無偵錯獎金計畫。提交漏洞即表示您承諾未抱有收受獎金的期待,且明確放棄未來可藉此提交資訊向 JLL 索取費用。

此政策解釋其所涵蓋的系統和研究類型、如何向我們傳送漏洞報告,以及在公開揭露漏洞前,安全研究者需等待的時間

歡迎聯繫我們,回報系統中的潛在漏洞。

授權

若您願於安全研究期間,善意努力遵從此政策,我們會將您的研究視為已授權。在您的協助下,我們會盡快瞭解並解決問題,JLL 不會建議或尋求與您研究有關的法律行動。若第三方就您依循此政策實行的相關活動採取法律行動,我們將公開此授權。

指南

根據此政策,「研究」代表您採取的以下活動:

  • 發現實際或潛在安全問題時,立刻通知我們。
  • 盡量避免違反隱私權、降低使用者體驗、破壞生產系統和破壞或操控資料。
  • 僅在必要時利用系統弱點確認是否存在漏洞。請勿使用系統弱點獲取或外洩資料、執行持續命令列存取,或利用弱點轉移至其他系統。
  • 公開揭露前,請給予我們合理的時間處理問題。
  • 請勿提交大量低品質報告。

當您查證漏洞確實存在或遇到任何敏感資料時 (包括個人身份資訊、財務資訊,或任一方之專利資訊或商業機密),請務必停止測試,立即通知我們,不要向任何人揭露資料

測試方法

以下測試方法未獲授權:

  • 網絡拒絕服務 (DoS 或 DDoS) 測試或其他影響存取、損壞系統或資料的測試。
  • 實體測試 (如:辦公室入口、敞開的門、是否有人尾隨)、社交工程 (如:網路釣魚、語音釣魚) 或任何其他非技術漏洞測試。
範圍

本政策僅適用於完全由 JLL 擁有和管理的系統與服務。

任何沒有明確列於上方的服務,如:任何連結服務,皆屬範圍之外,且並未授權測試。此外,於供應商系統中發現的漏洞不屬於本政策範圍,若其有揭露政策,應根據該政策直接向供應商報告。如果您不確定系統是否在範圍內,請寄信至 vulndisclosure@jll.com 聯絡我們。

我們可能會協助開發和維護其他可透過網路存取的系統或服務,但請僅針對本政策範圍內的系統和服務,進行積極研究和測試。若有任何您認為應測試的特定系統不在範圍內,請於進行任何測試前聯絡我們討論。我們會隨時間推移評估此政策範圍。

根據本政策提交的資訊將僅用於防禦目的,如:減緩或修復漏洞。若您發現新的漏洞不單會影響 JLL,甚至會影響所有產品或服務的用戶,我們可能會將您的報告與美國網路安全暨基礎設施安全局分享,該機構將根據其協調漏洞揭露流程處理。我們不會在未經允許下,分享您的姓名或聯絡資訊。

請傳送漏洞報告至 vulndisclosure@jll.com。報告將以匿名方式提交。若您留下聯絡資訊,我們將在 3 個工作天內確認收到報告。

我們不支援 PGP 加密電子郵件。

我們希望收到的報告

為協助我們將提交內容分類和排序,我們建議您在報告中使用以下方法:

  • 描述發現漏洞的位置和弱點的潛在影響。
  • 提供需要複寫漏洞的詳細步驟解說(驗證概念的指令碼或截圖皆為有幫助的證明)。
  • 若可以,請使用英文。
我們提供的服務

若您選擇與我們分享聯絡資訊,我們承諾會以最快速、最公開的方式與您協調。

  • 我們將於 3 個工作日內,確認收到您的報告。
  • 我們將竭盡所能向您確認漏洞是否存在,並將修補過程步驟盡量透明化,包括可能導致解決進度延宕的問題或挑戰。
  • 我們將保持開放式對話來討論問題。
問題

此政策相關問題會寄送至 vulndisclosure@jll.com。我們也誠摯歡迎您聯繫我們,提供政策相關改進意見。