提交安全漏洞

负责任的信息披露政策

Digi International Inc. 努力确保我们的客户对我们的产品和服务的安全性有信心。如果您发现 Digi.com 或任何 Digi 品牌产品或服务存在安全漏洞，我们要求您按照本责任披露标准向我们披露。

为了给我们的客户群和研究人员提供一个安全可靠的机制，我们与 Bugcrowd Inc.（"Bugcrowd"）合作，利用他们的漏洞披露计划平台。一旦提交的信息通过验证，Digi 将根据我们的风险管理标准修复漏洞，以继续致力于我们基础设施和产品的保密性、完整性和可用性。

要报告可疑漏洞，请使用本页底部的表格提交详细信息。请查看 "漏洞提交报告数据 "部分，了解有关提供案例详细信息的建议。

安全礼仪

以下概述了我们在参与漏洞披露计划的安全相关活动中的预期行为、礼仪和互动原则。

• 始终遵守数据保护规定，不侵犯我们用户、员工、承包商、服务或系统的隐私。
• 例如，不得共享、转发或不妥善保管从系统或服务中获取的数据。
• 您不得访问、下载或修改不属于您的数据。
• 未经 Digi 明确的书面同意，不得向公众或第三方披露您提交的材料中涉及的任何已识别或声称的漏洞。

一旦不再需要或在漏洞解决后一个月内（以先发生者为准），安全删除在研究过程中检索到的所有数据（或按照数据保护法的其他要求）。

提交材料交流生命周期

Digi 的安全团队致力于以尽可能透明和快速的方式与研究人员进行协调。提交的生命周期包括以下内容：

• 研究人员或客户按照我们的漏洞披露标准和计划提交表格。
  • 与 Digi 就所提交的漏洞进行的所有交流都将通过 Bugcrowd 漏洞披露平台提交中提供的电子邮件进行。(注：要与 Digi 和 Bugcrowd 的安全团队沟通，您必须通过 Bugcrowd 发送到您邮箱的电子邮件验证来申请提交）。
  • Digi 负责漏洞协调的安全团队将在收到提交的潜在漏洞后四天内确认收悉。
  • Digi 的安全团队在通信链中被指定为 Digi_Sec_（Digi 工作人员姓名），并将在漏洞的整个生命周期中持续更新提交者的信息。
• Bugcrowd 和 Digi 的安全团队将根据我们的风险分类系统对漏洞进行评估。
• 在确定漏洞的有效性后，将根据产品团队的生命周期管理流程对漏洞进行分流。处理结果可能需要通过此处的 Digi 修补程序政策进行处理： https://www.digi.com/resources/security/security-policies
  • 有关所有其他产品的支持声明，包括有关报废产品（"EOL"）的信息，请访问： https://www.digi.com/support/support-policy

包括的提交类型

• 业务逻辑漏洞
• OWASP 10 强
• 信息披露
• 数据曝光
• 授权/认证问题
• 可以提交上述清单之外的任何可能或正在影响 Digi 系统、服务或 Digi 财产的保密性、完整性或可用性的内容。

漏洞提交报告数据

以下信息将更好地帮助 Digi 和 Bugcrowd 的安全团队验证和处理漏洞。

• 产品或服务名称、URL 或受影响的固件版本
• 相关组件的操作系统
• 版本信息
• 尽可能详细地从技术上说明正在执行的操作和结果
• 用于测试或演示漏洞的示例代码
• 记者联系方式
• 其他相关方（如适用
• 披露计划
• 威胁/风险评估所确定的威胁和/或风险等级（P1（危急）P2（严重）P3（中度）P4（低度）P5（非正式））的详情
• 发现漏洞时计算机的软件配置或设备配置
• 连接组件的相关信息以及漏洞发生的时间（例如，次要组件或设备触发了漏洞）
• 发现的时间和日期
• 浏览器信息，包括类型和版本信息（如适用

风险分类系统

本计划将使用Bugcrowd 漏洞评级分类标准对发现的漏洞进行初步优先排序/评级。不过，在某些情况下，漏洞的优先级会根据其可能性或影响进行修改。在问题被降级的任何情况下，我们都会向研究人员提供完整、详细的解释，并提供上诉和申请更高优先级的机会。 在提交风险评估信息之前，请考虑我们在 Bugcrowd 平台上遵循的严重性分类：

• P1 关键：提交中发现的问题具有最高优先级，应被归类为主要拦截程序。通常情况下，P1 优先级的呈件被归类为主要阻止程序，会导致应用程序无法使用，有可能破坏业务运营，需要立即关注。
• P2 严重：提交材料中发现的这一问题并不严重，但对申请有重大影响。
• P3 中等：提交的问题不属于关键或严重问题，但发现了应用程序中需要修复的缺陷。
• P4 低：本报告的优先级最低，属于次要问题。
• P5 信息：此呈件可能提供可疑信息，但不能确定是否会带来任何风险。

禁止的行为

本标准禁止以下行为。 如果您从事任何这些被禁止的活动，Digi International 保留所有法律权利。

• 拒绝服务 (DoS) 和分布式拒绝服务 (DDoS)
  • 如果发现了可实施 DoS 或 DDoS 攻击的漏洞，请提交发现的信息，但不要实施攻击。
  • 对研究人员或客户单独拥有的 Digi International 产品进行 DoS 测试，如果测试是在研究人员或客户拥有和运营的网络上进行，则可以接受。
• 垃圾邮件报告或招揽生意
• 网络钓鱼、网络欺诈、鱼叉式网络钓鱼报告
• 社会工程报告
• 开放端口，但未同时演示或证明漏洞概念
• 自动工具生成的结果没有详细解释哪些部分存在漏洞以及如何利用漏洞