PTC 弱點協調揭露報告 (v1.0)

PTC 重視安全性研究

安全性對 PTC 及其服務的生態系統而言極度重要。由於實體和數位系統的融合程度越來越高，因此我們每個人都有責任開發並維護更安全、防禦能力更高且更彈性的系統。PTC 透過安全性方案和行動方案，致力承擔自身應負的責任。除此之外，PTC 還希望與有意願且具備誠信的盟友攜手合作，擴大方案的推動範圍。因此，PTC 歡迎安全性研究者在這方面提供無價的貢獻。為了確保這個過程進行順利並簡化步驟，我們將推出弱點協調揭露計劃。

初期實施範圍

這項試行計劃的初期實施範圍主要是 ThingWorx 品牌產品，以利我們全力處理可能遭弱點影響業界和安全性關鍵環境的領域。我們打算在此計劃逐漸成熟的過程中擴大實施範圍，納入其他產品。

只要合作夥伴秉持誠信行事，並遵守本政策中所述協同合作指示和方針 (包括遵守一切相關法律)，PTC 就不會對其採取法律行動。

與 PTC 溝通

為了確保雙方均以恰當方式揭露資訊，請遵守下列指示：

• 請將英文版報告提交給 cvd@ptc.com
• 請使用這個網頁上提供的 PGP 公開金鑰 或其他加密方式將郵件加密。
• 除了與弱點詳情相關的資訊，請勿在您為我們提供的任何螢幕截圖或其他文件/內容中包含敏感資訊。

我們收到您的郵件後，將會指派適當的 PTC 員工於七 (7) 個日曆天內向您確認已收到郵件。

您應遵守的事項

我們願意與遵守下列方針的安全性研究人員合作：

• 避免針對現用環境進行任何測試 (或駭入) (使用測試或開發環境來執行弱點測試)
• 遵守一切相關法律和規定
• 請勿存取或修改您依法沒有控制權的任何帳戶或系統中的任何資料
• 請勿利用您發現的弱點或任何問題；請勿採取任何不符比例原則或違法的行動
• 請您與 PTC 共同選定公開發佈所發現弱點的日期，以盡量降低對公眾安全、隱私權和安全性風險造成的風險

• 在公開發佈資訊前先告訴我們您的任何資訊揭露計劃
• 為了謹慎起見，請讓 DHS-ICS-CERT、CERT/CC、相關主管機關或其他適合的政府機構參與
• 為我們提供與弱點偕同合作夥伴之間、任何關於弱點 (和 CVE) 的詳細通訊內容

• 偏好：精心撰寫的英文版報告更有可能促成解決方案的產生
• 偏好：若報告包含能驗證概念的程式碼，能協助我們更有效率地為弱點分類

PTC 將進行的工作

PTC 收到提交的報告後，將會：

• 在七 (7) 個日曆天內向您確認已收到。
• 初步評估可能的結果，藉以判斷正確性、向上提報的必要性，以及要提報的目標產品群組。您可能會在這個階段：

• 收到向您索取其他資訊的要求，或
• 收到計劃不接受某項弱點的通知，因為該弱點不符合計劃條件，或您提供的詳情不足。(您可以回覆任何不接受弱點的電子郵件通知，位址為 cvd@ptc.com)

• 根據弱點的嚴重性分數來開發解決方案並採取適當行動。
• 在研究人員提出要求，以及報告導致我們公開發佈修正程式或通知時，向公眾說明該研究人員的貢獻。

在有必要或 PTC 無法解決溝通或其他問題時，PTC 得邀請中立第三方 (例如 CERT/CC、DHS-ICS-CERT 或相關主管機關) 協助判定處理弱點的最佳方式。

附註： PTC 得以自身認定恰當的任何方式，使用分享給 PTC 的任何資訊。任何資訊之提交不會為提交者提供任何權利，也不會使 PTC 承擔任何義務。