Bitte übertragen Sie keine Massenberichte, die von automatisierten Scannern stammen. Solche Ergebnisse müssen durch einen Sicherheitspraktiker überprüft und validiert werden, bevor sie an JFrog übertragen werden.
Wenn Sie der Ansicht sind, dass Sie ein Sicherheitsproblem festgestellt haben, melden Sie es JFrog bitte über eines der folgenden Verfahren:
Kunden:
Bitte senden Sie uns Ihren Bericht über unser Support-Portal.
Sicherheitsexperten:
Bitte reichen Sie Ihren Sicherheitsbericht über unser Programm zur Offenlegung von Schwachstellen oder unser Bug-Bounty-Programm ein, das von HackerOne verwaltet wird.
Beides sind private Programme. Einladungen akzeptieren wir per E-Mail an security@jfrog.com.
Sie können uns Ihren Sicherheitsbericht auch per E-Mail an security@jfrog.com zukommen lassen. (Sofern Sie Ihre E-Mail mit unserem PGP-Schlüssel verschlüsseln möchten, können Sie diesen hier herunterladen).
Philosophie der Offenlegung von Schwachstellen
Alle eingereichten Berichte sind vertraulich und werden gemäß dem Schweregrad bearbeitet. Bitte geben Sie das Problem nicht öffentlich bekannt, bis wir die Auswirkungen beurteilen und das Risiko mindern. Bounty-Zahlungen werden nur an Forscher vergeben, die Schwachstellen über unser Bug-Bounty-Programm einreichen.
Berichte über Schwachstellen sollten die folgenden Informationen enthalten:
- Zusammenfassung der Schwachstelle
- Ausmaß der Schwachstelle: Produkt und dessen Version oder Cloud-Dienst
- Art der Schwachstelle, z. B. Remotecodeausführung, XSS oder SQL-Injektion
- Schritte zur Reproduzierung
- Jeder Nachweis des Wirkkonzepts
- Unterstützendes Material/Referenzen
- Die potenziellen Auswirkungen der Schwachstelle
Senden Sie einen Schwachstellenbericht an das JFrog-Programm zur Offenlegung von Schwachstellen:
(Melden Sie sich unbedingt mit Ihrem HackerOne-Konto an)