概览

独立的安全调查员在互联网安全方面发挥着重要作用。因此,我们鼓励有责任地报告在我们的站点或应用程序上发现的任何漏洞。Salesforce 一直承诺与安全调查员精诚合作,以验证并解决向我们报告的任何潜在漏洞。

作为负责任的披露政策的一部分,Salesforce 将在可能受到影响的客户必须采取行动,以便在公开披露问题和发布通用漏洞披露 (CVE®) 之前打补丁或修复漏洞时向他们发出通知。

在您测试和/或报告漏洞前,请查看这些条款。只要入侵或尝试入侵我们系统的研究员遵守此策略,Salesforce 承诺不对其提出法律诉讼。

感谢您,广大的贡献者!

我们感谢那些分享信任(我们的第一价值观)的人们。查看帮助我们改善 Salesforce 整体安全态势的客户和用户列表。

查看安全研究贡献者列表 >

详细了解我们的政策

  • 推出 Trial Edition 或 Developer Edition 时,请对此类实例执行所有漏洞测试。在测试我们的在线服务时,请始终使用测试或演示帐户。有关安全评估、要求、限制和时间安排的信息,请查看漏洞评估和渗透测试

  • 请通过私密方式向 Salesforce 安全团队提供可疑漏洞的完整详细信息,以便我们验证并重现该问题。

  • 我们欢迎您本着负责任的态度发现并向我们报告发现的漏洞,但明令禁止以下行为:

    • 执行对 Salesforce 或其用户产生不利影响的操作(例如垃圾邮件、暴力破解、拒绝服务……)
    • 访问或尝试访问不属于您个人的数据或信息
    • 破坏或损坏,或者尝试破坏或损坏不属于您个人的数据或信息
    • 对 Salesforce 人员、财产或数据中心进行任何类型的物理攻击或电子攻击
    • 社交工程攻击任何 Salesforce 服务台、员工或承包商
    • 使用测试帐户以外的其他任何帐户执行参与服务漏洞测试(例如 Developer 或 Trial Edition 实例)
    • 为发现漏洞而触犯法律或违反协议
  • 我们要求您不得与第三方共享或向其公布未解决的漏洞。如果您负责任地提交漏洞报告,Salesforce 安全团队和关联研发组织将通过合理努力:

    • 及时回应,并确认收到您的漏洞报告
    • 提供解决漏洞报告的预计时间范围
    • 漏洞修复时通知您

报告安全问题

作为领先的软件即服务和平台即服务提供商,Salesforce 致力于制定保护环境和客户数据的标准。报告任何安全问题,与我们展开合作。

报告问题