Руководство по программе ответственного раскрытия информации Malwarebytes

Ответственное и безответственное раскрытие информации

По нашему опыту, (а) публичное раскрытие концептуального кода эксплойта, (б) излишние подробности для того, чтобы донести свою точку зрения, или (в) публикация сведений об уязвимости до появления исправления - это безответственное раскрытие информации, которое приносит больше вреда, чем пользы, поскольку привлекает ненужное внимание к проблеме безопасности. Поэтому в рамках программы Malwarebytes CVD вознаграждения за ошибки будут присуждаться только тем репортерам, которые следуют принципам ответственного раскрытия информации.

Что мы имеем в виду под словом Bug Bounty?

Malwarebytes предлагает денежные вознаграждения за наиболее интересные ошибки. Размер вознаграждения за интересные ошибки зависит от их серьезности и возможности использования. Однако Malwarebytes оставляет за собой право увеличить эту сумму в каждом конкретном случае. Кроме того, CVE присваиваются и перечисляются на сайте malwarebytes

Какие обязательства по соблюдению конфиденциальности я беру на себя, предоставляя материалы?

Если вы отправляете нам заявку на участие в этой программе, вы соглашаетесь, что никогда не будете раскрывать код эксплойта (включая двоичные файлы этого кода) для соответствующей уязвимости другим лицам до тех пор, пока не будет подтверждено исправление, за исключением случаев, когда Malwarebytes делает этот код общедоступным или вы обязаны раскрывать его по закону. Это не мешает вам обсуждать уязвимость или демонстрировать действие эксплойта в коде.

Какие типы уязвимостей принимает программа CVD?

Пожалуйста, следуйте рекомендациям программы HackerOne.

Последний раз редактировалось 13 августа 2025 г.