개요
독립 보안 조사자들은 인터넷 보안에서 중요한 역할을 수행하고 있습니다. 따라서 책임감을 가지고 사이트나 응용 프로그램에서 발견되는 취약성을 보고하도록 장려합니다. Salesforce는 보안 조사자와 지속적으로 협력하여 보고되는 모든 잠재적인 취약성을 확인하고 해결하기 위해 최선을 다하고 있습니다.
책임 공개의 구성원으로서 Salesforce는 문제를 공개하고 CVE®(Common Vulnerabilities and Exposures)를 발표하기 전에 영향을 받을 수 있는 고객이 취약성을 패치하거나 수정하기 위한 조치를 취해야 한다면 알릴 것입니다.
취약성을 테스트하거나 보고하기 전에 먼저 다음 조건을 확인하십시오. 이 정책을 준수하는 한 Salesforce는 시스템에 침투하거나 침투하도록 시도하는 행위와 관련하여 조사자를 상대로 소송을 제기하지 않을 것을 서약합니다.
도움을 주신 분들께 감사합니다!
신뢰를 최고의 가치로 여기며 공유해주신 분들께 감사드립니다. Salesforce의 전반적인 보안 상태 개선을 위해 도와주신 고객과 사용자 목록을 확인하십시오.
정책에 대한 자세한 정보
보안 취약성 테스트
Trial 또는 Developer Edition을 사용할 경우에는 항상 해당 인스턴스에 대해 모든 취약성 테스트를 시행하십시오. 온라인 서비스를 테스트할 때에는 항상 테스트 또는 데모 계정을 사용하십시오. 보안 평가, 요구 사항, 제한, 예약에 대한 자세한 내용은 취약성 평가 및 침투 테스트를 검토하십시오. 도움말 기사 검토 >
잠재적 보안 취약성 보고
Salesforce 보안 팀이 문제를 확인하고 재현할 수 있도록 의심스러운 취약성에 대해 비공개로 상세히 설명해주십시오. Salesforce セキュリティにメールする >
Salesforce는 다음과 같은 유형의 보안 조사를 허용하지 않습니다
책임감 있는 자세로 취약성을 찾아 내고 보고하도록 장려하지만, 다음과 같은 행위는 명시적으로 금지됩니다.
- Salesforce 또는 Salesforce 사용자에게 부정적인 영향을 줄 수 있는 작업(예: 스팸, 무차별 암호 대입 공격, 서비스 거부 등)
- 다른 사용자의 데이터 또는 정보에 액세스하거나 이를 시도하는 행위
- 다른 사용자의 데이터 또는 정보를 폐기 또는 손상시키거나 이를 시도하는 행위
- Salesforce 직원, 재산 또는 데이터 센터에 물리적 또는 전자적 공격을 가하는 행위
- Salesforce 서비스 데스크, 직원 또는 계약업체를 사회적으로 교란시키는 행위
- 테스트 계정이 아닌 다른 계정을 사용하여 참여하는 서비스에 대한 취약점 테스트 수행(예: 평가판 또는 Developer Edition 인스턴스)
- 취약성을 발견하기 위해 법을 어기거나 계약을 위반하는 행위
Salesforce 보안 팀 노력
타사와 해결되지 않은 취약성을 공유하거나 공개하지 마십시오. 취약성 보고서를 책임지고 제출하는 경우 Salesforce 보안 팀 및 연관된 개발 조직에서 합리적인 노력을 통해 다음을 수행합니다.
- 적시에 취약성 보고서를 받는 즉시 대응
- 취약성 보고서를 처리하는 데 걸리는 예상 기간 제공
- 취약성이 해결된 경우 알림