Neo4j 负责任披露政策
您发现安全问题了吗?告诉我们!
我们在信任方面采取战略性方法,其中产品和服务的安全性起着不可或缺的作用。我们在设计、构建和运营时都将安全性放在首位。尽管如此,我们也意识到错误、失误,甚至新的研究发现以前未知的风险,始终是威胁环境的一部分。如果您发现问题,我们希望您告知我们,以便我们能够尽快纠正问题。
如何联系我们
发送电子邮件至 security@neo4j.com。为了保护我们之间的通信,我们建议您使用我们的 PGP 密钥
向我们发送电子邮件时,请确保包含以下信息,以便我们能够更快地回复您
- 详细描述漏洞。
- 如何重现问题。
- 如果相关,任何有助于我们更快地解决问题的屏幕截图或其他文档。
- 我们可以用来联系您的联系信息。如果您有 PGP 密钥,请链接到它。
您能从我们这里得到什么
我们会尽快确认收到您的报告,并努力让您了解验证和缓解的进展情况。
一旦漏洞得到修复,我们会通知您并邀请您确认解决方案是否充分解决了漏洞。
Neo4j 目前没有运行积极的漏洞赏金计划,因此不会接受有关报告的赔偿要求。为了验证工作,我们会提供在公开的感谢名单中列出您的发现。
我们能从您这里得到什么
为了维护负责任披露的做法,我们期望您
- 不要违反任何适用的法律或法规
- 不要利用潜在漏洞访问受限信息。
- 不要修改或删除信息。
- 不要使用高强度入侵或破坏性扫描工具查找漏洞。
- 不要通过拒绝服务攻击影响可用性。
- 不要提交琐碎的问题,例如不敏感的错误配置,例如缺少 cookie 标志。
- 不要对 Neo4j 人员和客户进行社交工程、网络钓鱼或类似攻击。
- 首先向我们报告任何发现的潜在漏洞,并在公开发布之前让我们有时间评估和缓解。
感谢
非常感谢以下人员帮助我们确保网站和产品的安全可靠
| 克里斯托弗·埃利斯 | 领英 |
| 尼克·戈内拉 | @handled_sigint |
| 阿迪蒂亚·库马尔·夏尔马 | @Assass1nmarcos |
| 高拉夫·萨杜汉 | 领英 |
| 菲尼克斯白帽 | @PhoenixMantis |
| 阿努拉格·贾恩 | @csanuragjain |
| 朱利安·克雷特尔 | @jub0bs |
| 索海尔·艾哈迈德 | 领英 |
| 尼古拉·格罗德姆 | 领英 |
| 普里塔姆·达什 | 领英 |
| 法伊赞·艾哈迈德 | 领英 |
| 高朗·马赫塔 | 领英 |
| 吴伟林 | @Creastery 来自 @starlabs_sg |
| 奥尔·萨哈尔 | 领英 |
| 亚当·雷齐奥克 - 空客 | 领英 |
| 克里斯托弗·施耐德 - 州立农场 | |
| 塔哈·巴拉汉 | @TahaBarhaam |
| 兰吉特·库马尔·辛格 | 电子邮件 |