PTC 弱點協調揭露報告 (v1.0)

PTC 重視安全性研究

安全性對 PTC 及其服務的生態系統而言極度重要。由於實體和數位系統的融合程度越來越高,因此我們每個人都有責任開發並維護更安全、防禦能力更高且更彈性的系統。PTC 透過安全性方案和行動方案,致力承擔自身應負的責任。除此之外,PTC 還希望與有意願且具備誠信的盟友攜手合作,擴大方案的推動範圍。因此,PTC 歡迎安全性研究者在這方面提供無價的貢獻。為了確保這個過程進行順利並簡化步驟,我們將推出弱點協調揭露計劃。

初期實施範圍

這項試行計劃的初期實施範圍主要是 ThingWorx 品牌產品,以利我們全力處理可能遭弱點影響業界和安全性關鍵環境的領域。我們打算在此計劃逐漸成熟的過程中擴大實施範圍,納入其他產品。

法律態度

只要合作夥伴秉持誠信行事,並遵守本政策中所述協同合作指示和方針 (包括遵守一切相關法律),PTC 就不會對其採取法律行動。

與 PTC 溝通

為了確保雙方均以恰當方式揭露資訊,請遵守下列指示:

  • 請將英文版報告提交給 cvd@ptc.com
  • 請使用這個網頁上提供的 PGP 公開金鑰 或其他加密方式將郵件加密。
  • 除了與弱點詳情相關的資訊,請勿在您為我們提供的任何螢幕截圖或其他文件/內容中包含敏感資訊。

我們收到您的郵件後,將會指派適當的 PTC 員工於七 (7) 個日曆天內向您確認已收到郵件。

您應遵守的事項

我們願意與遵守下列方針的安全性研究人員合作:

  • 避免針對現用環境進行任何測試 (或駭入) (使用測試或開發環境來執行弱點測試)
  • 遵守一切相關法律和規定
  • 請勿存取或修改您依法沒有控制權的任何帳戶或系統中的任何資料
  • 請勿利用您發現的弱點或任何問題;請勿採取任何不符比例原則或違法的行動
  • 請您與 PTC 共同選定公開發佈所發現弱點的日期,以盡量降低對公眾安全、隱私權和安全性風險造成的風險
    • 在公開發佈資訊前先告訴我們您的任何資訊揭露計劃
    • 為了謹慎起見,請讓 DHS-ICS-CERT、CERT/CC、相關主管機關或其他適合的政府機構參與
    • 為我們提供與弱點偕同合作夥伴之間、任何關於弱點 (和 CVE) 的詳細通訊內容
  • 偏好:精心撰寫的英文版報告更有可能促成解決方案的產生
  • 偏好:若報告包含能驗證概念的程式碼,能協助我們更有效率地為弱點分類

PTC 將進行的工作

PTC 收到提交的報告後,將會:

  • 在七 (7) 個日曆天內向您確認已收到。
  • 初步評估可能的結果,藉以判斷正確性、向上提報的必要性,以及要提報的目標產品群組。您可能會在這個階段:
    • 收到向您索取其他資訊的要求,或
    • 收到計劃不接受某項弱點的通知,因為該弱點不符合計劃條件,或您提供的詳情不足。(您可以回覆任何不接受弱點的電子郵件通知,位址為 cvd@ptc.com)
  • 根據弱點的嚴重性分數來開發解決方案並採取適當行動。
  • 在研究人員提出要求,以及報告導致我們公開發佈修正程式或通知時,向公眾說明該研究人員的貢獻。

在有必要或 PTC 無法解決溝通或其他問題時,PTC 得邀請中立第三方 (例如 CERT/CC、DHS-ICS-CERT 或相關主管機關) 協助判定處理弱點的最佳方式。

附註: PTC 得以自身認定恰當的任何方式,使用分享給 PTC 的任何資訊。任何資訊之提交不會為提交者提供任何權利,也不會使 PTC 承擔任何義務。