一、政策目的
TeamT5 長期致力於保護客戶、合作夥伴及社群的資訊安全。我們誠摯歡迎安全研究人員、資安專家或任何善意第三方,負責任地向我們通報網站、產品或基礎架構中可能存在的安全漏洞或事件。 本政策旨在:
提供明確、透明的通報管道
保護善意研究人員免受法律追究
共同提升我們產品與服務的安全性
二、適用範圍
本政策適用於:
本公司開發、維護及營運的官方網站、雲端服務與基礎設施
本公司所提供的 EDR 與其他資安產品及解決方案
與本公司資訊安全相關的任何資產
三、不屬於範圍項目
以下項目通常不視為漏洞,恕不受理或回覆:
SPF / DMARC / DKIM 設定問題
公開目錄列表(無敏感資料)
HTTP 錯誤訊息或版本資訊洩漏
客戶端安全(如用戶自行設定弱密碼)
需物理存取的攻擊情境
任何非屬本公司管理的第三方資源或服務
四、通報流程
(1) 報告內容
受影響產品 / 服務名稱與版本
漏洞描述及潛在影響
重現步驟或 Proof of Concept (PoC)
聯絡方式(Email)
(2) 提交方式
主旨請註明「[Vulnerability Report]」
(3) 我們的處理流程
72 小時內發送初步確認
根據漏洞嚴重度進行評估與修補
修補完成並公告後,若您同意,將列名於感謝頁
90 天原則:建議在回報日起 90 天內不公開漏洞細節(如有特殊情況可協調調整)
(4) CVE 流程
若漏洞符合公開標準,我們將協助向 CNA 申請 CVE 編號
若您同意,可在 CVE 中共同列名為發現者
五、責任揭露原則
我們期望報告者:
不公開漏洞細節,直到本公司發布修補或公告
僅進行必要測試,不利用漏洞取得或外洩敏感資料
不執行破壞性測試、不安裝後門或持久化控制
給予本公司 90 天合理修補期(依情況可協調)
提供詳細完整的報告協助評估
六、法律聲明與 Safe Harbor
我們感謝每位善意回報者,對依本政策善意通報之行為不會主張法律責任。
若報告者違反法律或惡意利用漏洞,本公司有權依法追究其相關民事及刑事法律責任。
本政策不構成與本公司之間的任何契約或合作協議;我們可視情況更新本政策。
七、聯絡方式
Email: psirt@teamt5.org or teamt5_csirt@teamt5.org