Critical Windchill and FlexPLM Security Notice

Critical new security patches are now available. Customers are urged to apply the patches immediately.

Learn More

PTC 弱點協調揭露報告 (v2.0)

PTC 重視安全性研究


安全性對 PTC 及其服務的生態系統而言極度重要。由於實體和數位系統的融合程度越來越高,因此我們每個人都有責任開發並維護更安全、防禦能力更高且更彈性的系統。PTC 透過安全性方案和行動方案,致力承擔自身應負的責任。除此之外,PTC 還希望與有意願且具備誠信的盟友攜手合作,擴大方案的推動範圍。因此,PTC 歡迎安全性研究者在這方面提供無價的貢獻。為了確保這個過程進行順利並簡化步驟,我們將推出弱點協調揭露計劃。

法律態度

只要合作夥伴秉持誠信行事,並遵守本政策中所述協同合作指示和方針 (包括遵守一切相關法律),PTC 就不會對其採取法律行動。

與 PTC 溝通

為了確保雙方均以恰當方式揭露資訊,請遵守下列指示:

  • 請將英文版報告提交給 [email protected]
  • 請使用這個網頁上提供的 PGP 公開金鑰 或其他加密方式將郵件加密。
  • 除了與弱點詳情相關的資訊,請勿在您為我們提供的任何螢幕截圖或其他文件/內容中包含敏感資訊。
我們收到您的郵件後,將會指派適當的 PTC 員工於七 (7) 個日曆天內向您確認已收到郵件。

您應遵守的事項

我們願意與遵守下列方針的安全性研究人員合作:

  • 避免針對現用環境進行任何測試 (或駭入) (使用測試或開發環境來執行弱點測試)
  • 遵守一切相關法律和規定
  • 請勿存取或修改您依法沒有控制權的任何帳戶或系統中的任何資料
  • 請勿利用您發現的弱點或任何問題;請勿採取任何不符比例原則或違法的行動
  • 請您與 PTC 共同選定公開發佈所發現弱點的日期,以盡量降低對公眾安全、隱私權和安全性風險造成的風險
  • 在公開發佈資訊前先告訴我們您的任何資訊揭露計劃
  • 為了謹慎起見,請讓 DHS-ICS-CERT、CERT/CC、相關主管機關或其他適合的政府機構參與
  • 為我們提供與弱點偕同合作夥伴之間、任何關於弱點 (和 CVE) 的詳細通訊內容
  • 偏好:精心撰寫的英文版報告更有可能促成解決方案的產生
  • 偏好:若報告包含能驗證概念的程式碼,能協助我們更有效率地為弱點分類

PTC 將進行的工作

PTC 收到提交的報告後,將會:
  • 在七 (7) 個日曆天內向您確認已收到。
  • 初步評估可能的結果,藉以判斷正確性、向上提報的必要性,以及要提報的目標產品群組。您可能會在這個階段:
  • 收到向您索取其他資訊的要求,或
  • 收到計劃不接受某項弱點的通知,因為該弱點不符合計劃條件,或您提供的詳情不足。(您可以回覆任何不接受弱點的電子郵件通知,位址為 [email protected])
  • 根據弱點的嚴重性分數來開發解決方案並採取適當行動。
  • 在研究人員提出要求,以及報告導致我們公開發佈修正程式或通知時,向公眾說明該研究人員的貢獻。

在有必要或 PTC 無法解決溝通或其他問題時,PTC 得邀請中立第三方 (例如 CERT/CC、DHS-ICS-CERT 或相關主管機關) 協助判定處理弱點的最佳方式。

附註: PTC 得以自身認定恰當的任何方式,使用分享給 PTC 的任何資訊。任何資訊之提交不會為提交者提供任何權利,也不會使 PTC 承擔任何義務。