Blueair 漏洞揭露政策

1. 簡介

BlueAir 致力於保護我們的客戶、使用者和公司的安全。如果您認為您發現我們的網站、連接裝置或軟體（「Blueair 產品」）中存在安全性問題或漏洞，我們感謝您盡快回報。 

當收到合法問題的適當通知時，我們將盡力確認您的漏洞報告，分配資源調查問題，並儘快修復潛在問題。無論您是 Blueair 產品的使用者、軟體開發人員，還是只是安全愛好者，您都是這個過程的重要組成部分。

2. 回報安全問題或漏洞

如果您認為發現了安全性問題或漏洞，請發送電子郵件至infosec@blueair.com提交您的發現，主題為「安全問題」。 

請提供您認為受影響的具體產品和軟體版本；您觀察到的行為和預期的行為的技術描述；重現問題所需的步驟；如果適用的話，還提供概念證明或漏洞利用。

在所有情況下，您必須：

• 尊重我們的隱私。如果您存取任何其他人的資料（無論是個人資料還是其他資料），請立即與我們聯繫。這包括使用者名稱、密碼和其他憑證。您不得儲存、儲存或傳輸此資訊。
• 秉持誠信行事。您應該無條件地向我們報告該漏洞。
• 與我們合作。及時向我們報告任何發現，在發現第一個漏洞後停止並請求繼續測試的許可。在公開披露漏洞之前，請給我們合理的時間來解決它。

您不得：

• 竊取資料。而是使用概念證明來證明漏洞。
• 利用漏洞來停用進一步的安全控制。
• 執行社會工程學。
• 使用自動掃描器。

我們不為投稿提供經濟補償或任何其他形式的獎勵。此外，我們不會退還您可能產生的任何費用。 

5. 響應和解決

我們承諾在 3 個工作天內確認收到您的報告。我們的安全團隊將及時調查所報告的問題並隨時向您通報進度。

一旦問題得到驗證，我們將努力解決。我們感謝您在過程中的耐心和合作。

6.法律保護

該政策旨在與安全研究人員的良好實踐相容。這並不允許您採取任何違反法律或可能導致 Blueair 違反其任何法律義務的行為，包括但不限於：

• 1990年《電腦濫用法》
• 《一般資料保護規範》2016/679（GDPR）與《2018 年資料保護法》

在符合其法律義務的範圍內，如果安全研究人員本著善意並按照本揭露政策行事，Blueair 將不會對報告 Blueair 產品任何安全漏洞的安全研究人員採取民事訴訟或尋求起訴。

8. 違反政策

任何未遵循此揭露流程而試圖利用安全漏洞的行為都是嚴格禁止的，否則可能會採取法律行動。

9. 政策更新

此政策可能會不時更新。請定期查看此頁面以獲取最新資訊。

感謝您協助我們維護物聯網設備/產品的安全。