概觀
獨立的安全研究員在網際網路安全性扮演重要的角色。因此,我們鼓勵負責任地報告任何可能在我們網站或應用程式中找到的弱點。Salesforce 仍然致力於與安全研究員合作,驗證並解決任何報告的潛在弱點。
Salesforce 身為負責任披露的一分子,當必須在公開披露問題和發佈常見弱點披露 (CVE®) 之前採取修補措施或修復弱點時,會通知潛在的受影響客戶。
請在您測試和/或報告弱點之前,先檢閱此條款。Salesforce 保證只要在研究員遵守此政策的情況下,不會針對其滲透或嘗試滲透我們系統的行為採取法律行動。
深入瞭解我們的政策
測試安全性弱點
當試用版或 Developer Edition 可供使用時,請針對此例項進行所有弱點測試。請總是使用測試或模擬帳戶來測試我們的線上服務。如需安全性評估、需求、限制及排程的相關資訊,請參閱弱點評估和滲透測試。 檢閱說明文章 >
報告潛在安全性弱點
私下向 Salesforce 安全小組提供可疑弱點的完整詳細資料,讓我們可驗證並重現問題。 傳送電子郵件給 Salesforce 安全小組 >
Salesforce 不允許下列安全研究類型
雖然我們鼓勵您以負責任的態度發現並向我們報告任何所找到的弱點,但明確禁止下列行為:
- 執行對 Salesforce 或其使用者造成負面影響的動作 (例如垃圾郵件、暴力密碼攻擊、拒絕服務攻擊...)
- 存取或嘗試存取不屬於您的資料或資訊
- 破壞或損毀,或嘗試破壞或損毀不屬於您的資料或資訊
- 對 Salesforce 人員、財產或資料中心進行任何實體或電子攻擊
- 社交工程攻擊任何 Salesforce 服務台、員工或承包商
- 使用測試帳戶 (例如 Developer Edition 或試用版例項) 以外者進行參與服務的弱點測試
- 為了發現弱點,違反任何法律或破壞任何協議
Salesforce 安全小組承諾
我們要求您不要向第三方分享或公開未解決的弱點。如果您負責任地提交弱點報告,Salesforce 安全小組和相關開發組織將盡合理努力於:
- 及時回應,確認收到您的弱點報告
- 提供處理弱點報告的估計時間範圍
- 弱點已修正時通知您