مقدمة
تلتزم D2L بضمان أمان المنتجات والخدمات التي نقدمها، وضمان حماية المعلومات الموكلة إلينا من قبل عملائنا ومستخدمينا. تهدف هذه السياسة إلى منح الباحثين الأمنيين إرشادات واضحة لإجراء أنشطة اكتشاف الثغرات الأمنية ونقل تفضيلاتنا في كيفية إرسال الثغرات الأمنية المكتشفة إلينا.
توضح هذه السياسة أنظمة وأنواع الأبحاث التي تغطيها هذه السياسة، وكيفية إرسال تقارير الثغرات الأمنية إلينا، والمدة التي نطلب فيها من الباحثين الأمنيين الانتظار قبل الكشف عن الثغرات الأمنية علنا.
نحن نشجعك على الاتصال بنا للإبلاغ عن الثغرات الأمنية المحتملة في أنظمتنا.
إذن
إذا بذلت جهدا بحسن نية للامتثال لهذه السياسة أثناء بحثك الأمني، فسنعتبر بحثك مرخصا وسنعمل معك لفهم المشكلة وحلها بسرعة، ولن توصي D2L باتخاذ إجراء قانوني يتعلق ببحثك أو تتابعها. إذا تم اتخاذ إجراء قانوني من قبل طرف ثالث ضدك بسبب الأنشطة التي تم تنفيذها وفقا لهذه السياسة، فسنعلن بهذا التفويض.
المبادئ التوجيهيه
بموجب هذه السياسة، يقصد بمصطلح "البحث" الأنشطة التي تقوم فيها:
- أبلغنا في أقرب وقت ممكن بعد اكتشاف مشكلة أمنية حقيقية أو محتملة.
- ابذل قصارى جهدك لتجنب انتهاكات الخصوصية وتدهور تجربة المستخدم وتعطيل أنظمة الإنتاج وتدمير البيانات أو التلاعب بها.
- استخدم عمليات الاستغلال فقط بالقدر اللازم لتأكيد وجود ثغرة أمنية. لا تستخدم استغلالا لاختراق البيانات أو تسريبها أو إنشاء وصول مستمر لسطر الأوامر أو استخدام الاستغلال للتحول إلى أنظمة أخرى.
- وفر لنا قدرا معقولا من الوقت لحل المشكلة قبل الكشف عنها علنا.
- لا ترسل عددا كبيرا من التقارير منخفضة الجودة.
بمجرد إثبات وجود ثغرة أمنية أو مواجهة أي بيانات حساسة (بما في ذلك معلومات التعريف الشخصية أو المعلومات المالية أو معلومات الملكية أو الأسرار التجارية لأي طرف)، يجب عليك إيقاف الاختبار وإخطارنا على الفور وعدم الكشف عن هذه البيانات لأي شخص آخر.
طرق الاختبار
طرق الاختبار التالية غير مصرح بها:
- اختبارات رفض الخدمة في الشبكة (DoS أو DDoS) أو الاختبارات الأخرى التي تضعف الوصول إلى نظام أو بيانات أو تتلفها
- الاختبار المادي (مثل الوصول إلى المكتب أو الأبواب المفتوحة أو الخلفية أو الهندسة الاجتماعية (مثل التصيد الاحتيالي أو التصيد الاحتيالي) أو أي اختبار آخر غير تقني للثغرات الأمنية
نطاق
تنطبق هذه السياسة على:
- مثيلات D2L Brightspace LMS
- مثيلات D2L Wave
- واجهات برمجة التطبيقات والخدمات التي تدعم Brightspace و Wave
- شفرة المصدر المنشورة في https://github.com/Brightspace
- d2l.com
يتطلب الاختبار على مثيلات العميل تفويضا من العميل المقترن. إذا كنت ترغب في الوصول إلى مثيل Brightspace أو Wave للاختبار ضده ، فاتصل بنا على security@d2l.com.
يتم استبعاد أي خدمة غير مذكورة صراحة أعلاه ، مثل أي خدمات متصلة ، من النطاق وغير مصرح بها للاختبار. بالإضافة إلى ذلك، تقع الثغرات الأمنية الموجودة في الأنظمة من موردينا خارج نطاق هذه السياسة ويجب الإبلاغ عنها مباشرة إلى المورد وفقا لسياسة الإفصاح الخاصة به (إن وجدت). إذا لم تكن متأكدا مما إذا كان النظام في النطاق أم لا ، فاتصل بنا على security@d2l.com قبل البدء في البحث.
على الرغم من أننا نطور ونحافظ على أنظمة أو خدمات أخرى يمكن الوصول إليها عبر الإنترنت ، إلا أننا نطلب ذلك البحث والاختبار النشط يتم إجراؤها فقط على الأنظمة والخدمات التي يغطيها نطاق هذه الوثيقة. إذا كان هناك نظام معين ليس في النطاق تعتقد أنه يستحق الاختبار ، فيرجى الاتصال بنا لمناقشته أولا.
جميع الأنظمة المذكورة أعلاه مؤهلة للحصول على المكافآت.
الإبلاغ عن ثغرة أمنية
سيتم استخدام المعلومات المقدمة بموجب هذه السياسة لأغراض دفاعية فقط - للتخفيف من الثغرات الأمنية أو معالجتها. إذا تضمنت النتائج التي توصلت إليها ثغرات أمنية تم اكتشافها حديثا تؤثر على جميع مستخدمي منتج أو خدمة وليس D2L فقط، فقد نشارك تقريرك مع فريق الأمان للمنتج أو الخدمة المتأثرة. لن نشارك اسمك أو معلومات الاتصال الخاصة بك دون إذن صريح.
نحن نقبل تقارير الثغرات الأمنية عبر incident@d2l.com. يمكن تقديم التقارير دون الكشف عن هويتها. إذا قمت بمشاركة معلومات الاتصال، فسنقر باستلام بلاغك في غضون 3 أيام عمل. نحن لا ندعم رسائل البريد الإلكتروني المشفرة بواسطة PGP.
ما نود أن نراه منك
لمساعدتنا في فرز الطلبات وتحديد أولوياتها، نوصي بأن تقوم تقاريرك:
- وصف الموقع الذي تم اكتشاف الثغرة الأمنية فيه والتأثير المحتمل للاستغلال.
- قدم وصفا تفصيليا للخطوات اللازمة لإعادة إنتاج الثغرة الأمنية (إثبات البرامج النصية أو لقطات الشاشة مفيدة
- كن باللغة الإنجليزية ، إن أمكن.
ما يمكن أن تتوقعه منا
عندما تختار مشاركة معلومات الاتصال الخاصة بك معنا، فإننا نلتزم بالتنسيق معك بشكل مفتوح وبأسرع ما يمكن.
- في غضون 3 أيام عمل، سنقر باستلام بلاغك.
- بقدر ما نستطيع ، سنؤكد وجود الثغرة الأمنية لك ونكون شفافين قدر الإمكان بشأن الخطوات التي نتخذها أثناء عملية الإصلاح ، بما في ذلك المشكلات أو التحديات التي قد تؤخر الحل.
- سنحافظ على حوار مفتوح لمناقشة القضايا.
الاسئله
يمكن إرسال الأسئلة المتعلقة بهذه السياسة إلى security@d2l.com. كما ندعوك للاتصال بنا لتقديم اقتراحات لتحسين هذه السياسة.