PTC 协调漏洞披露报告 (v1.0)

PTC 重视安全研究

安全性对 PTC 和我们所服务的生态系统都非常重要。随着物理和数字系统的融合越来越深入,我们都肩负着共同的责任,即开发和维护更安全、更可靠、更有弹性的系统。PTC 致力于通过强大的安全计划和措施来完成我们的工作。作为对我们自身工作的扩展,PTC 希望与诚信行事且有意愿协作的盟友进行合作。因此,PTC 欢迎安全研究机构贡献自己宝贵的力量。为确保建立顺畅简化的流程,我们将引入“协调漏洞披露计划”。

初始范围

在初始范围内,该试点计划将专注于 ThingWorx 品牌产品,以确保我们对漏洞可能影响工业和安全关键环境的领域给予充分关注。随着计划逐渐成熟,我们打算扩大范围,纳入其他产品。

法律责任

PTC 不会对诚信行事的人员采取法律行动,并会遵守本政策中所述的协调指导方针,包括遵守所有适用的法律。

与 PTC 通信

为了确保正确处理这两方面的披露信息,请遵循以下说明:

  • 将英文版报告提交到 cvd@ptc.com
  • 使用本网页上提供的 PGP 公共密钥或其他加密方法来加密邮件。
  • 请勿在您向我们提供的任何屏幕截图或其他文档/内容中包括敏感信息(与漏洞详情有关的信息除外)。

一旦我们收到您的邮件,相应的 PTC 员工将会在七 (7) 个自然日内确认接收。

我们对您的期望

我们愿意与遵守以下准则的安全研究机构合作:

  • 避免在活动环境中执行任何测试(或采取黑客行为)(使用测试或开发环境执行漏洞测试)
  • 遵守所有适用的法律法规
  • 不访问或修改您没有法律控制权的任何帐户或系统中的任何数据
  • 不利用您所发现的漏洞或任何问题;不采取任何不当或非法行为
  • 我们要求您与 PTC 商议决定公开发布所发现漏洞相关信息的日期,从而最大限度降低出现公共安全、隐私和安全风险的可能性
    • 在公开披露之前,将您的披露计划(如果有)告知我们
    • 为谨慎起见,应提及 DHS-ICS-CERT、CERT/CC、相关监管机构或其他相应的政府实体
    • 向我们提供与漏洞协调员就漏洞(和 CVE)进行的任何通信的详情
  • 优先考虑:表达清晰的英文报告将有更高机会得到尽快处理
  • 优先考虑:包含概念验证代码的报告便于我们更好地分类

您对 PTC 的期望

收到提交后,PTC 将:

  • 在七 (7) 个自然日内确认接收。
  • 对潜在发现结果执行初步评估,以确定准确性、是否需要上报以及要上报到的产品组。在此阶段,您可能会:
    • 收到要求提供其他信息的请求,或
    • 收到漏洞因不符合该计划条件或细节不充分而未被纳入该计划的通知。(您可以联系 cvd@ptc.com,回复任何未接受通知)
  • 根据漏洞的临界得分,制定解决方案并采取适当的措施。
  • 如果因报告而产生公开发布的修复或通信,我们将应要求向研究机构提供公共认可。

在必要或我们不能解决沟通问题或其他问题的情况下,PTC 可能会引入中立的第三方(如 CERT/CC、DHS-ICS-CERT 或相关监管机构)来帮助确定漏洞的最佳处理方法。

备注: PTC 可能以 PTC 认为适当的任何方式使用与 PTC 共享的任何信息。提交任何信息都不会导致提交者享有任何权利,也不会导致 PTC 履行任何义务。