Wytyczne programu odpowiedzialnego ujawniania informacji Malwarebytes

Odpowiedzialne i nieodpowiedzialne ujawnianie informacji

Z naszego doświadczenia wynika, że (a) publiczne ujawnienie sprawdzonego kodu exploita, (b) niepotrzebne szczegóły w celu przedstawienia sprawy lub (c) ujawnienie szczegółów luki przed udostępnieniem poprawki stanowi nieodpowiedzialne ujawnienie, które przynosi więcej szkody niż pożytku, ponieważ niepotrzebnie zwraca uwagę na kwestię bezpieczeństwa. W związku z tym program Malwarebytes CVD będzie przyznawał nagrody za błędy wyłącznie zgłaszającym, którzy postępują zgodnie z wytycznymi dotyczącymi odpowiedzialnego ujawniania informacji.

Co rozumiemy przez Bug Bounty?

Malwarebytes oferuje nagrody pieniężne za najbardziej interesujące błędy. Kwota przyznawana za interesujące błędy zależy od ich wagi i możliwości wykorzystania. Malwarebytes zastrzega sobie jednak prawo do zwiększenia tej kwoty w zależności od przypadku. Dodatkowo, CVE są przypisywane i wymieniane na stronie malwarebytes.

Jakie zobowiązania do zachowania poufności podejmuję przekazując zgłoszenie?

Jeśli wyślesz nam zgłoszenie do tego programu, zgadzasz się, że nigdy nie ujawnisz działającego kodu exploita (w tym plików binarnych tego kodu) dla odpowiedniej luki w zabezpieczeniach żadnemu innemu podmiotowi, dopóki poprawka nie zostanie potwierdzona, chyba że Malwarebytes udostępni ten kod publicznie lub jesteś zobowiązany przez prawo do jego ujawnienia. Nie uniemożliwia to omawiania podatności lub pokazywania efektów exploita w kodzie.

Jakie rodzaje luk w zabezpieczeniach akceptuje program CVD?

Postępuj zgodnie z wytycznymi programu HackerOne.

Ostatnio edytowano 13 sierpnia 2025 r.