LEGAL

Responsible disclosure

1. Purpose and Philosophy

Astraeye deeply appreciates and values the critical role that independent security researchers play in the global cybersecurity ecosystem. This Vulnerability Disclosure Policy (VDP) is established to provide a clear, safe, and structured mechanism for ethical hackers to report potential security vulnerabilities discovered within the Astraeye infrastructure in good faith, enabling us to remediate issues swiftly and protect our user base.

2. Scope of the Policy

3. Legal Safe Harbor Commitment

Astraeye is committed to a Safe Harbor framework. If a security researcher conducts vulnerability testing and reporting in strict, good-faith adherence to this Policy, Astraeye will consider such activities to be authorized. Consequently, Astraeye will not initiate civil litigation, nor file criminal complaints with law enforcement agencies against the researcher for those specific activities.

4. Rules of Engagement and Guidelines for Researchers

To maintain protection under the Safe Harbor, researchers must strictly adhere to the following non-destructive testing mandates:

5. Reporting Process and Coordinated Disclosure Timeline

Vulnerability reports should be submitted directly to [email protected]. Valid reports must include a detailed technical description of the vulnerability, clear steps to reproduce the issue, and any applicable Proof of Concept (PoC) scripts or screenshots. Astraeye aligns with industry best practices by employing a 90-day coordinated disclosure timeline. We require that researchers keep all information regarding discovered vulnerabilities strictly confidential for up to 90 calendar days following Astraeye's acknowledgment of the report, granting our engineering teams sufficient time to validate, patch, and deploy remediations across our global network before public disclosure.

一、政策目的与初衷

Astraeye 的首要任务是保护用户的数据资产与核心云基础设施。我们深知完美的系统并不存在,因此我们高度赞赏并诚挚欢迎白帽子黑客、独立安全研究人员以及学术界专家通过本"漏洞披露政策(VDP)",以负责任的方式向我们报告真实存在的安全隐患。本页面详细说明了我们在不设立公开现金漏洞悬赏(Bug Bounty)计划的情况下,处理漏洞报告的狭义、合规且负责任的标准化流程。

二、授权范围与限制

三、测试规范与红线禁令

为了确保您的测试活动不会干扰我们的正常业务运作或导致其他客户数据的泄露,您必须严格遵守以下非破坏性测试准则:

四、安全避风港承诺(Safe Harbor)

Astraeye 承诺提供法律层面的"安全避风港"。如果您在完全且严格遵守本政策各项规定的前提下,出于善意开展安全测试并提交漏洞报告,Astraeye 将视您的行为为经过授权的合法安全测试。我们将承诺不会针对您的此类合规活动向法院提起民事诉讼,亦不会主动向公安机关等执法部门就该行为进行刑事控告。

五、报告流程与协调披露时间线

请将漏洞报告直接提交至 [email protected]。有效的报告须包含漏洞的详细技术说明、清晰的复现步骤,以及任何适用的概念验证(PoC)脚本或截图。Astraeye 遵循行业最佳实践,采用 90 天协调披露时间线。我们要求研究人员在 Astraeye 确认收到报告后,对所发现漏洞的全部信息严格保密最长 90 个自然日,以确保我们的工程团队有足够时间验证、修复并在全球网络部署补丁,然后再进行公开披露。

一、政策目的與初衷

Astraeye 的首要任務是保護使用者的資料資產與核心雲端基礎設施。我們深知完美的系統並不存在,因此我們高度讚賞並誠摯歡迎白帽駭客、獨立安全研究人員及學術界專家透過本「漏洞揭露政策(VDP)」,以負責任的方式向我們報告真實存在之安全隱患。本頁面詳細說明我們在不設立公開現金漏洞懸賞(Bug Bounty)計畫之情況下,處理漏洞報告之狹義、合規且負責任的標準化流程。

二、授權範圍與限制

三、測試規範與紅線禁令

為確保您的測試活動不會干擾我們的正常業務運作或導致其他客戶資料的外洩,您必須嚴格遵守以下非破壞性測試準則:

四、安全避風港承諾(Safe Harbor)

Astraeye 承諾提供法律層面之「安全避風港」。如您於完全且嚴格遵守本政策各項規定之前提下,本於善意開展安全測試並提交漏洞報告,Astraeye 將視您之行為為經授權之合法安全測試。我們承諾不會針對您之此類合規活動向法院提起民事訴訟,亦不會主動向公安機關等執法部門就該行為進行刑事告訴。

五、報告流程與協調揭露時間軸

請將漏洞報告直接提交至 [email protected]。有效之報告須包含漏洞之詳細技術說明、清晰之重現步驟,以及任何適用之概念驗證(PoC)腳本或截圖。Astraeye 遵循業界最佳實踐,採用 90 天協調揭露時間軸。我們要求研究人員於 Astraeye 確認收到報告後,對所發現漏洞之全部資訊嚴格保密最長 90 個自然日,以確保我們的工程團隊有足夠時間驗證、修補並於全球網路部署修補後,再進行公開揭露。

1. 目的と理念

Astraeye は、グローバルなサイバーセキュリティエコシステムにおいて独立したセキュリティ研究者が果たす重要な役割を深く尊重し、評価しています。本脆弱性開示ポリシー(VDP)は、倫理的ハッカーが Astraeye インフラ内で発見した潜在的なセキュリティ脆弱性を誠実に報告できる、明確かつ安全で構造化された仕組みを提供するものです。これにより当社は問題を迅速に修復し、ユーザー基盤を保護することができます。

2. ポリシーの適用範囲

3. 法的セーフハーバーの確約

Astraeye はセーフハーバーの枠組にコミットします。研究者が誠実かつ本ポリシーに厳格に従って脆弱性テストおよび報告を行う場合、Astraeye はそれらの活動を許可されたものとみなします。したがって、Astraeye は当該特定活動について研究者に対し民事訴訟を提起せず、法執行機関へ刑事告訴を行いません。

4. 研究者向けの行動規範

セーフハーバー保護を維持するため、研究者は以下の非破壊的テスト要件を厳格に遵守する必要があります:

5. 報告プロセスと協調的開示タイムライン

脆弱性報告は [email protected] に直接ご提出ください。有効な報告には、脆弱性の詳細な技術的説明、明確な再現手順、適用可能な PoC スクリプトまたはスクリーンショットを含める必要があります。Astraeye は業界のベストプラクティスに整合し、90 日間の協調的開示タイムラインを採用します。研究者は、Astraeye が報告を確認した後、最大 90 暦日にわたり発見された脆弱性に関するすべての情報を厳格に秘密に保持することを求められます。これにより、当社のエンジニアリングチームは公開前にグローバルネットワーク全体で検証・修正・展開する十分な時間を得られます。

1. 목적과 철학

Astraeye는 글로벌 사이버보안 생태계에서 독립 보안 연구자가 수행하는 중요한 역할을 깊이 인식하고 존중합니다. 본 취약점 공개 정책(VDP)은 윤리적 해커가 Astraeye 인프라에서 발견한 잠재적 보안 취약점을 선의로 보고할 수 있는 명확하고 안전하며 구조화된 메커니즘을 제공합니다. 이를 통해 당사는 문제를 신속히 해결하고 사용자 기반을 보호할 수 있습니다.

2. 정책 적용 범위

3. 법적 세이프 하버 약속

Astraeye는 세이프 하버 프레임워크에 헌신합니다. 보안 연구자가 본 정책을 엄격하고 선의로 준수하여 취약점 테스트 및 보고를 수행하는 경우, Astraeye는 그러한 활동을 승인된 것으로 간주합니다. 따라서 Astraeye는 그러한 특정 활동에 대해 연구자에게 민사 소송을 제기하지 않으며, 법 집행기관에 형사 고소를 하지 않습니다.

4. 연구자를 위한 행동 규칙

세이프 하버 보호를 유지하려면 연구자는 다음 비파괴적 테스트 의무를 엄격히 준수해야 합니다:

5. 보고 절차 및 협조 공개 일정

취약점 보고는 [email protected]로 직접 제출해 주십시오. 유효한 보고에는 취약점에 대한 상세한 기술 설명, 명확한 재현 단계, 적용 가능한 PoC 스크립트나 스크린샷이 포함되어야 합니다. Astraeye는 업계 모범 사례에 부합하여 90일 협조 공개 일정을 채택합니다. 연구자는 Astraeye가 보고를 확인한 후 최대 90일 동안 발견된 취약점에 관한 모든 정보를 엄격히 비밀로 유지해야 하며, 이는 당사 엔지니어링 팀이 공개 전에 글로벌 네트워크 전반에 검증·패치·배포할 충분한 시간을 갖게 하기 위함입니다.

1. Propósito y filosofía

Astraeye aprecia profundamente y valora el papel crítico que desempeñan los investigadores de seguridad independientes en el ecosistema global de ciberseguridad. Esta Política de Divulgación de Vulnerabilidades (VDP) se establece para proporcionar un mecanismo claro, seguro y estructurado para que los hackers éticos reporten potenciales vulnerabilidades de seguridad descubiertas dentro de la infraestructura Astraeye de buena fe, permitiéndonos remediar rápidamente y proteger a nuestra base de usuarios.

2. Alcance de la política

3. Compromiso de Safe Harbor legal

Astraeye se compromete con un marco de Safe Harbor. Si un investigador de seguridad realiza pruebas y reportes de vulnerabilidades en estricta y buena fe adhesión a esta Política, Astraeye considerará tales actividades autorizadas. En consecuencia, Astraeye no iniciará litigios civiles ni presentará denuncias penales contra el investigador por esas actividades específicas.

4. Reglas de compromiso y pautas para investigadores

Para mantener la protección bajo Safe Harbor, los investigadores deben adherirse estrictamente a los siguientes mandatos de pruebas no destructivas:

5. Proceso de reporte y cronograma de divulgación coordinada

Los reportes de vulnerabilidades deben enviarse directamente a [email protected]. Los reportes válidos deben incluir una descripción técnica detallada de la vulnerabilidad, pasos claros para reproducir el problema y cualquier script PoC o capturas de pantalla aplicables. Astraeye se alinea con las mejores prácticas de la industria empleando un cronograma de divulgación coordinada de 90 días. Requerimos que los investigadores mantengan toda la información sobre las vulnerabilidades descubiertas en estricta confidencialidad por hasta 90 días naturales después del acuse de recibo del reporte por parte de Astraeye, otorgando a nuestros equipos de ingeniería tiempo suficiente para validar, parchar e implementar remediaciones en nuestra red global antes de la divulgación pública.

1. Objet et philosophie

Astraeye apprécie profondément le rôle critique des chercheurs en sécurité indépendants dans l'écosystème mondial de cybersécurité. La présente Politique de Divulgation des Vulnérabilités (VDP) est établie pour fournir un mécanisme clair, sûr et structuré permettant aux hackers éthiques de signaler en toute bonne foi les vulnérabilités de sécurité potentielles découvertes dans l'infrastructure Astraeye, afin de remédier rapidement aux problèmes et protéger nos utilisateurs.

2. Périmètre de la politique

3. Engagement de Safe Harbor légal

Astraeye s'engage dans un cadre Safe Harbor. Si un chercheur en sécurité effectue des tests et des signalements de vulnérabilités en stricte adhésion de bonne foi à la présente Politique, Astraeye considérera ces activités comme autorisées. Par conséquent, Astraeye n'engagera pas de poursuites civiles ni ne déposera de plaintes pénales contre le chercheur pour ces activités spécifiques.

4. Règles d'engagement et lignes directrices pour les chercheurs

Pour conserver la protection Safe Harbor, les chercheurs doivent strictement respecter les exigences suivantes de tests non destructifs :

5. Processus de signalement et calendrier de divulgation coordonnée

Les rapports de vulnérabilité doivent être transmis directement à [email protected]. Les rapports valides doivent inclure une description technique détaillée de la vulnérabilité, des étapes claires pour reproduire le problème et tout script PoC ou capture d'écran applicable. Astraeye s'aligne sur les meilleures pratiques de l'industrie en appliquant un calendrier de divulgation coordonnée de 90 jours. Nous demandons aux chercheurs de garder strictement confidentielles toutes les informations sur les vulnérabilités découvertes pendant 90 jours civils maximum après l'accusé de réception du rapport, afin de laisser à nos équipes d'ingénierie le temps suffisant pour valider, corriger et déployer les remédiations à l'échelle de notre réseau mondial avant divulgation publique.

1. Zweck und Philosophie

Astraeye schätzt und würdigt die zentrale Rolle unabhängiger Sicherheitsforscher im globalen Cybersicherheits-Ökosystem. Diese Vulnerability Disclosure Policy (VDP) bietet einen klaren, sicheren und strukturierten Mechanismus, mit dem ethische Hacker potenzielle Sicherheitsschwachstellen in der Astraeye-Infrastruktur in gutem Glauben melden können, sodass wir Probleme zügig beheben und unsere Nutzerbasis schützen.

2. Geltungsbereich

3. Rechtliche Safe-Harbor-Zusage

Astraeye bekennt sich zu einem Safe-Harbor-Rahmen. Führt ein Sicherheitsforscher Schwachstellentests und Meldungen in strikter Übereinstimmung mit dieser Richtlinie durch, betrachtet Astraeye solche Aktivitäten als autorisiert. Astraeye wird wegen dieser konkreten Aktivitäten weder zivilrechtliche Klagen einreichen noch strafrechtliche Anzeigen bei Strafverfolgungsbehörden gegen den Forscher erstatten.

4. Verhaltensregeln und Leitlinien für Forscher

Um den Safe-Harbor-Schutz zu wahren, müssen Forscher die folgenden Vorgaben für nicht-destruktive Tests strikt einhalten:

5. Meldeprozess und Zeitplan der koordinierten Offenlegung

Schwachstellenmeldungen sind direkt an [email protected] zu senden. Gültige Meldungen müssen eine detaillierte technische Beschreibung, klare Reproduktionsschritte sowie ggf. PoC-Skripte oder Screenshots enthalten. Astraeye orientiert sich an den Branchen-Best-Practices und nutzt einen 90-tägigen koordinierten Offenlegungszeitplan. Wir verlangen, dass Forscher alle Informationen über entdeckte Schwachstellen für bis zu 90 Kalendertage nach Astraeyes Bestätigung der Meldung streng vertraulich halten, damit unsere Engineering-Teams ausreichend Zeit haben, sie zu validieren, zu patchen und Korrekturen in unserem globalen Netzwerk auszurollen, bevor eine öffentliche Bekanntgabe erfolgt.

1. Цель и философия

Astraeye высоко ценит ключевую роль независимых исследователей в глобальной экосистеме кибербезопасности. Настоящая Политика раскрытия уязвимостей (VDP) устанавливает понятный, безопасный и структурированный механизм для добросовестного сообщения этическими хакерами о возможных уязвимостях в инфраструктуре Astraeye, чтобы мы могли быстро их устранять и защищать пользовательскую базу.

2. Область действия политики

3. Юридическое обязательство Safe Harbor

Astraeye придерживается принципов Safe Harbor. Если исследователь проводит тестирование уязвимостей и сообщает о них, строго и добросовестно соблюдая настоящую Политику, Astraeye рассматривает такие действия как авторизованные. Astraeye не будет инициировать гражданские иски и не будет подавать уголовных заявлений в правоохранительные органы против исследователя за такие действия.

4. Правила взаимодействия и руководство для исследователей

Для сохранения защиты Safe Harbor исследователи должны строго соблюдать следующие требования к недеструктивному тестированию:

5. Процесс отчётности и срок согласованного раскрытия

Сообщения об уязвимостях направляйте напрямую на [email protected]. Действительные сообщения должны содержать подробное техническое описание уязвимости, чёткие шаги воспроизведения и применимые скрипты PoC или скриншоты. Astraeye придерживается лучших отраслевых практик и применяет 90-дневный срок согласованного раскрытия. Мы просим исследователей строго сохранять конфиденциальность всех сведений об обнаруженных уязвимостях в течение до 90 календарных дней после подтверждения получения отчёта Astraeye, чтобы наши инженерные команды могли валидировать, исправить и развернуть исправления по всему миру до публичного раскрытия.

1. Propósito e filosofia

A Astraeye valoriza profundamente o papel crítico desempenhado por pesquisadores de segurança independentes no ecossistema global. Esta Política de Divulgação de Vulnerabilidades (VDP) estabelece um mecanismo claro, seguro e estruturado para que hackers éticos relatem, de boa-fé, possíveis vulnerabilidades descobertas na infraestrutura Astraeye, permitindo correções rápidas e proteção de nossa base de usuários.

2. Escopo da política

3. Compromisso de Safe Harbor legal

A Astraeye está comprometida com um framework de Safe Harbor. Se um pesquisador conduzir testes e relatos em estrita boa-fé conforme esta Política, a Astraeye considerará tais atividades autorizadas. Consequentemente, a Astraeye não iniciará litígio civil nem apresentará queixa-crime contra o pesquisador por essas atividades específicas.

4. Regras de engajamento e diretrizes para pesquisadores

Para manter a proteção do Safe Harbor, os pesquisadores devem cumprir rigorosamente as seguintes diretrizes de teste não destrutivo:

5. Processo de relato e cronograma de divulgação coordenada

Relatórios devem ser enviados diretamente para [email protected]. Relatórios válidos devem incluir descrição técnica detalhada, etapas claras de reprodução e quaisquer scripts PoC ou capturas de tela aplicáveis. A Astraeye adota um cronograma de divulgação coordenada de 90 dias. Solicitamos que pesquisadores mantenham todas as informações sobre vulnerabilidades em estrita confidencialidade por até 90 dias após a confirmação do recebimento, dando tempo suficiente para validar, corrigir e implantar as remediações em nossa rede global antes da divulgação pública.

1. Scopo e filosofia

Astraeye apprezza profondamente il ruolo critico dei ricercatori di sicurezza indipendenti nell'ecosistema globale. La presente Vulnerability Disclosure Policy (VDP) stabilisce un meccanismo chiaro, sicuro e strutturato attraverso cui hacker etici possono segnalare in buona fede potenziali vulnerabilità riscontrate nell'infrastruttura Astraeye, consentendoci di intervenire rapidamente e proteggere la base utenti.

2. Ambito della policy

3. Impegno Safe Harbor

Astraeye aderisce a un quadro Safe Harbor. Se un ricercatore conduce test e segnalazioni in stretta buona fede in conformità alla policy, Astraeye considererà tali attività autorizzate. Di conseguenza, Astraeye non avvierà azioni civili né presenterà denunce penali contro il ricercatore per tali attività specifiche.

4. Regole di ingaggio per i ricercatori

Per mantenere la protezione Safe Harbor, i ricercatori devono rispettare rigorosamente i seguenti requisiti di test non distruttivo:

5. Processo di segnalazione e timeline di divulgazione coordinata

Le segnalazioni vanno inviate direttamente a [email protected]. Le segnalazioni valide devono includere descrizione tecnica dettagliata della vulnerabilità, passi chiari per la riproduzione e PoC o screenshot applicabili. Astraeye adotta una timeline di divulgazione coordinata di 90 giorni. Richiediamo che i ricercatori mantengano riservate tutte le informazioni sulla vulnerabilità per un massimo di 90 giorni di calendario dopo la presa in carico, per concedere ai team di ingegneria il tempo necessario a validare, applicare la patch e distribuire le mitigazioni globalmente prima della divulgazione pubblica.

1. الغرض والفلسفة

تقدّر Astraeye بعمق الدور الحاسم الذي يؤديه الباحثون المستقلون في الأمن السيبراني داخل المنظومة العالمية للأمن. أُسست سياسة الإفصاح عن الثغرات (VDP) هذه لتوفير آلية واضحة وآمنة ومنظمة تتيح للقراصنة الأخلاقيين الإبلاغ بحسن نية عن الثغرات المحتملة المكتشفة في البنية التحتية لـ Astraeye، بحيث نتمكن من المعالجة بسرعة وحماية قاعدة مستخدمينا.

2. نطاق السياسة

3. التزام المرفأ الآمن القانوني

تلتزم Astraeye بإطار "مرفأ آمن" (Safe Harbor). إذا أجرى الباحث اختبار الثغرات وأبلغ عنها بالتزام صارم وحسن نية وفق هذه السياسة، فستعتبر Astraeye هذه الأنشطة مصرّحًا بها. وعليه، لن ترفع Astraeye دعاوى مدنية ضد الباحث ولن تتقدم بشكاوى جنائية لدى جهات إنفاذ القانون بشأن تلك الأنشطة المحددة.

4. قواعد الاشتباك ومبادئ توجيهية للباحثين

للحفاظ على الحماية بموجب المرفأ الآمن، يجب على الباحثين الالتزام الصارم بالمبادئ التالية للاختبار غير المُتلف:

5. عملية الإبلاغ والجدول الزمني للإفصاح المنسق

تُرسل تقارير الثغرات مباشرةً إلى [email protected]. يجب أن تتضمن التقارير الصالحة وصفًا فنيًا مفصلًا للثغرة، وخطوات إعادة إنتاجها بوضوح، وأي نصوص PoC أو لقطات شاشة قابلة للتطبيق. تتبع Astraeye أفضل ممارسات الصناعة وتعتمد جدولًا زمنيًا للإفصاح المنسق مدته 90 يومًا. نطلب من الباحثين الحفاظ على سرية جميع المعلومات المتعلقة بالثغرات المكتشفة لمدة تصل إلى 90 يومًا تقويميًا بعد إقرار Astraeye باستلام التقرير، بما يتيح لفِرَق الهندسة لدينا وقتًا كافيًا للتحقق وتصحيح الأخطاء ونشر المعالجات عبر شبكتنا العالمية قبل الإفصاح العام.

BACK TO HOME