负责任的披露政策

在Sketch上，我们系统和用户的安全是重中之重。无论我们在系统安全方面付出了多大的努力，仍然可能存在漏洞。如果您确实发现了一个漏洞，我们希望了解它，以便我们采取正确的步骤来尽快解决它。我们正在寻求您的帮助，以保护我们的客户和我们的系统。 您可以使用Zerocopter的责任披露表提交您的发现。

范围

在范围内考虑以下领域：

• sketch.cloud Web应用程序。
• sketch.cloud API。

以下领域被认为超出范围：

• 需要访问一个已经受到破坏的帐户的漏洞（除非访问一个帐户会暴露其他帐户）
• 与实现相对的策略-电子邮件验证，密码长度或重用等。
• 垃圾邮件（除非特定漏洞导致轻松发送垃圾邮件）
• 缺少安全标头或“最佳做法”（除非您能够演示利用其缺失的漏洞）
• 我们的开源软件中的漏洞（除非您有关于如何在sketch.cloud或相关应用上使用特定漏洞的概念证明）
• 分布式拒绝服务攻击（DDoS）
• 社会工程学攻击
• 我们使用但不控制第三方应用程序。（例如，托管在外部服务上的博客或新闻通讯。）
• 第三方开发人员使用我们的公共API创建的集成和扩展。
• 与我们的许可系统有关的漏洞。
• Sketch桌面应用程序中的漏洞，除非该漏洞对sketch.cloud网络应用程序有影响。

多斯

• 请尽快报告该漏洞，以最大程度地减少敌对行为者发现并利用该漏洞的风险。
• 请以维护报告机密性的方式报告您的发现，以使其他人无法访问该信息。
• 请提供足够的信息来重现该问题，以便我们能够解决它。通常，受影响的系统的IP地址或URL以及对该漏洞的描述就足够了。但是，复杂的漏洞可能需要进一步说明。

不要

• 在解决该漏洞或问题之前，请勿将其透露给他人。
• 不要在信息系统中构建您自己的后门，然后再使用它来演示该漏洞，因为这样做可能会造成额外的损害并造成不必要的安全风险。
• 不要过度利用漏洞来确定其存在。
• 不要在系统上复制，修改或删除数据。替代方法是制作系统的目录列表。
• 不要更改系统。
• 不要反复获得对系统的访问权或与他人共享访问权。
• 请勿使用蛮力攻击，对物理安全的攻击，社会工程，分布式拒绝服务，垃圾邮件或第三方应用程序来访问系统。

我们保证

• 我们将在5个工作日内回复您的报告，并提供对报告的评估和预计的解决日期。
• 如果您按照上述说明进行操作，我们将不会就该报告对您​​采取任何法律行动。
• 除非有必要履行法律义务，否则我们不会在未经您许可的情况下将您的个人信息传递给第三方。可以匿名或以化名举报。
• 我们将随时向您通报解决问题的进展。
• 在有关所报告问题的公共信息中，我们将为您提供问题发现者的名字（除非您另有要求）。

我们努力尽快解决所有问题，并且希望在解决问题后最终发布该出版物时发挥积极作用。 此“责任披露”政策基于Floor Terra和NCSC的“责任披露指南”编写的示例。