介绍

在 LayerX Security，我们高度赞赏安全研究人员和公众为帮助我们提高安全标准所做的努力。如果您发现我们的资产存在漏洞、隐私问题、数据泄露或任何其他安全威胁，我们鼓励您立即与我们联系。本政策旨在定义漏洞报告的步骤、我们的期望以及您可以预期的回报。

范围

该政策涵盖 LayerX Security 拥有、管理或维持的所有数字资产。这包括您有明确测试权限的 LayerX 安全产品实例。

我们的承诺

当您根据本政策的规定与我们合作时，我们承诺：

• 迅速回复您的报告，并配合理解和验证您的调查结果。
• 努力定期向您通报报告的进展情况。
• 根据我们的运营限制，及时对已验证的漏洞采取行动。
• 授予安全港（Grant Safe Harbor），稍后将详细介绍与此策略相关的漏洞研究。

我们的期望

• 遵守准则，包括遵守本政策和任何其他相关协议。如果与其他适用条款有任何差异，则以本政策为准。
• 我们恳请参与我们漏洞披露计划的人员：
  • 及时报告任何发现的漏洞。
  • 避免侵犯他人隐私、破坏我们的系统、破坏数据或对用户体验产生负面影响。
• 仅使用官方渠道（稍后详细介绍）来讨论漏洞信息。
• 根据我们的披露政策（稍后会提到）对任何发现的漏洞保密。
• 将测试仅限于范围内的系统，并尊重范围外的系统和活动。
• 如果漏洞提供了意外的数据访问，请访问演示概念证明所需的最少数据。一旦发现任何用户数据，请立即停止测试并报告。
• 仅与您的测试帐户进行交互或在获得帐户持有人的明确许可的情况下进行交互。
• 避免任何形式的敲诈勒索。

官方频道

如有任何安全问题，请报告给 security@layerxsecurity.com，以及所有相关信息。您的报告越详细，我们就越容易验证和解决问题。

公开政策

我们当前的披露政策是酌情决定的。研究人员需要寻求许可才能公开分享有关该漏洞的详细信息。 LayerX Security 在披露此类信息之前必须获得明确批准。

安全港

我们将本政策下的任何漏洞研究视为：

• 合法并遵守任何相关的反黑客法律，我们不会煽动或支持对无意、善意违反本政策的行为采取法律行动。
• 根据任何适用的反规避法律授权，因此我们不太可能因规避技术控制而向您提出索赔。
• 免除 LayerX Security 条款和条件（或适用的许可协议）第 3(vii) 条下的限制，并且我们在有限的基础上放弃这些限制。
• 合法，有助于整体互联网安全，并诚信执行。

我们始终希望您遵守所有适用的法律。如果第三方对您提起法律诉讼，而您已遵守本政策，我们将采取措施确认您的行为符合本政策。如果您在任何时候担心或不确定您的安全研究是否符合本政策，请在继续之前通过我们的官方渠道之一提交报告。