Salsify期待着与安全社区合作，找到漏洞，以保持我们的业务和客户数据安全。

请在执行任何安全测试之前阅读整个政策。

我们是谁

Salsify提供了一流的产品体验管理（PXM），让我们的客户通过必威的网址谁知道我们的集成产品信息，数字资产管理和体验建设者服务来创建一流的商业经验。

• 零售商/分销商客户能够在品牌整个间接销售生态系统中的全部间接销售生态系统中的商店内和在线产品体验必威的网址谁知道
• MarketPlace＆D2C客户能够在与品牌的产品内容数据相同的平台中，管理市场，D2C品牌网站和社会商务渠道的直接商业经验，并在与品牌的产品内容数据相同的平台上。

BUG赏金付款

我们的披露计划不提供Bug Bounty付款。

在范围资产

注意:只有与这些领域相关的发现才会被视为有效。

app.salsify.com.

api.salsify.com.

响应目标

我们将尽力努力，以满足参与我们计划的黑客攻击的以下SLA。

第一响应= 14天

次的时间= 30天

是时候解决了时间=依赖于严重程度

我们将尽力让您了解我们在整个过程中的进展情况。

披露政策

• 由于这是一个私人程序，请不要讨论这个程序或任何漏洞，即使是已解决的漏洞，在程序之外，没有明确的书面同意，Salsify。
• 遵循下面列出的计划规则。

程序规则

• 请提供具有生殖步骤的详细报告。如果报告不足以重现问题，则此问题可能不会被标记为三菱。
• 除非您需要连锁漏洞以提供影响，否则每份报告提交一个漏洞。
• 当重复发生后，我们只会在收到的第一个报告中进行分类（提供它可以完全复制）。
• 由一个潜在问题引起的多种漏洞将被视为一个有效的报告。
• 禁止社会工程（例如，网络钓鱼，熏蒸，冒险）。
• 作出真诚的努力，以避免隐私侵犯、数据破坏和中断我们的服务。只与您拥有的帐户或帐户持有人的明确许可进行交互。

范围外的漏洞

当报告漏洞时，请考虑

• 攻击场景
• 剥削性
• 安全影响

以下类型的问题被认为是非范围：

• CSP配置。
• X帧配置。
• 对没有敏感数据的页面进行点击劫持，包括那些在URI中引用“demo”的页面。
• 跨站点请求伪造（CSRF）在未经身份验证的表单或表单上，没有敏感的操作。
• 需要MITM或物理访问用户设备的攻击。
• 先前已知的没有有效概念证明的易受攻击的库。
• 逗号分隔值（CSV）注射而不展示漏洞。
• 缺少SSL / TLS配置中的最佳实践。
• 任何可能导致我们服务(DoS)中断的活动。
• 内容欺骗和文本注入问题而不显示攻击载体或不能够修改HTML / CSS。
• 在未验证的端点上出现速率限制或暴力破解问题。
• 缺少内容安全策略中的最佳实践。
• cookie上缺少HttpOnly或Secure标志。
• 缺少电子邮件最佳实践(无效，不完整或缺少SPF/DKIM/DMARC记录等)。
• 漏洞仅影响过时或未括的浏览器的用户。
• 软件版本披露/横幅识别问题/描述性错误。消息或标头（例如堆栈痕迹，应用程序或服务器错误）。
• tabnabbing。
• 开放重定向 - 除非可以证明额外的安全影响
• 不太可能用户互动的问题。

避风港

以与本政策一致的方式进行的任何活动都将被视为授权行为，我们不会对您启动法律行动。如果由第三方发起法律诉讼，而第三方与在本政策下进行的活动相关联，我们将采取措施使您的行动符合本政策。

报告.

如果您认为您的发现符合范围内资产的有效报告的要求，请使用以下模板，以确保您在报告中包含以下部分:

——模板启动——

# #标题

＃＃ 概括

[添加漏洞摘要]

# #影响

##再现步骤（POC）

[添加复制漏洞的具体步骤]

1. (添加步骤)
2. (添加步骤)
3. (添加步骤)
4. [… 等等]

＃＃ 参考资料

##附件/屏幕截图

##建议修复（可选）

＃＃ 接触

[包括您的电子邮件地址]

---模板结束---

通过电子邮件将您的报告发送至：vdp@salsify.com.

政策有效日期

本保单有效期为2021年7月1日