概览
独立的安全调查员在互联网安全方面发挥着重要作用。因此,我们鼓励有责任地报告在我们的站点或应用程序上发现的任何漏洞。Salesforce 一直承诺与安全调查员精诚合作,以验证并解决向我们报告的任何潜在漏洞。
作为负责任的披露政策的一部分,Salesforce 将在可能受到影响的客户必须采取行动,以便在公开披露问题和发布通用漏洞披露 (CVE®) 之前打补丁或修复漏洞时向他们发出通知。
在您测试和/或报告漏洞前,请查看这些条款。只要入侵或尝试入侵我们系统的研究员遵守此策略,Salesforce 承诺不对其提出法律诉讼。
详细了解我们的政策
安全漏洞测试
推出 Trial Edition 或 Developer Edition 时,请对此类实例执行所有漏洞测试。在测试我们的在线服务时,请始终使用测试或演示帐户。有关安全评估、要求、限制和时间安排的信息,请查看漏洞评估和渗透测试。。 查案帮助文章 >
报告潜在安全漏洞
请通过私密方式向 Salesforce 安全团队提供可疑漏洞的完整详细信息,以便我们验证并重现该问题。 向 Salesforce 安全部门发送电子邮件 >
Salesforce 不允许以下类型的安全调查
我们欢迎您本着负责任的态度发现并向我们报告发现的漏洞,但明令禁止以下行为:
- 执行对 Salesforce 或其用户产生不利影响的操作(例如垃圾邮件、暴力破解、拒绝服务……)
- 访问或尝试访问不属于您个人的数据或信息
- 破坏或损坏,或者尝试破坏或损坏不属于您个人的数据或信息
- 对 Salesforce 人员、财产或数据中心进行任何类型的物理攻击或电子攻击
- 社交工程攻击任何 Salesforce 服务台、员工或承包商
- 使用测试帐户以外的其他任何帐户执行参与服务漏洞测试(例如 Developer 或 Trial Edition 实例)
- 为发现漏洞而触犯法律或违反协议
Salesforce 安全团队承诺
我们要求您不得与第三方共享或向其公布未解决的漏洞。如果您负责任地提交漏洞报告,Salesforce 安全团队和关联研发组织将通过合理努力:
- 及时回应,并确认收到您的漏洞报告
- 提供解决漏洞报告的预计时间范围
- 漏洞修复时通知您