Ne partagez pas de rapports bruts provenant d’analyseurs automatisés. Ces résultats doivent être examinés et validés par un employé de la sécurité avant d’être envoyés à JFrog.
Si vous pensez avoir détecté un problème de sécurité, signalez-le à JFrog en utilisant l’une des méthodes suivantes :
Clients :
Envoyez votre rapport via notre portail d’assistance.
Chercheurs en Sécurité :
Envoyez votre rapport de sécurité via notre Programme de Divulgation des Vulnérabilités ou notre Programme de Primes au Bogues géré par HackerOne.
Ces deux programmes sont privés. Nous acceptons les invitations par email à security@jfrog.com.
Vous pouvez également nous envoyer votre rapport de sécurité par email à security@jfrog.com. (Si vous souhaitez chiffrer votre email au moyen de notre clé PGP, vous pouvez la télécharger ici).
Philosophie De Divulgation Des Vulnérabilités
Tous les rapports envoyés restent confidentiels et serons traités par ordre de gravité. SVP ne rendez pas le problème public tant que nous n’en avons pas évalué l’impact et atténué les risques. Les paiements de primes ne seront accordés qu’aux chercheurs qui soumettent des vulnérabilités via notre programme de primes aux bogues Bug Bounty.
Les rapports de vulnérabilité doivent inclure les informations suivantes :
- Détail de la vulnérabilité
- Étendue de la vulnérabilité : Produit et sa version ou service cloud
- Type de problème de vulnérabilité (ex : exécution de code à distance, XSS ou injection SQL)
- Étapes à reproduire
- Toute preuve de concept
- Documents et références à l’appui
- Les éventuelles conséquences de cette vulnérabilité
Envoyer un rapport de vulnérabilité au Programme de Divulgation des Vulnérabilités de JFrog :
(Assurez-vous d’être connecté à votre compte HackerOne)