Salsify期待着与安全社区合作，找出漏洞，以确保我们的业务和客户数据安全。

在执行任何安全测试之前，请阅读此整个策略。

我们是谁

Salsify提供一流的产品体验管理（PXM），允许我们的客户通过必威的网址谁知道我们的集成产品信息、数字资产管理和体验构建服务创造一流的商业体验。

• 零售商/分销商客户能够在品牌的整个间接销售生态系统中联合店内和在线产品体验必威的网址谁知道
• Marketplace&D2C客户能够在与品牌产品内容数据相同的平台上，通过订单和库存清单交换，管理跨市场、D2C品牌网站和社交商务渠道的直接商务体验。

臭虫赏金

我们的披露计划不提供臭虫赏金。

范围内资产

注意：只有与这些域有关的调查结果将被视为有效。

app.salsify.com

api.salsify.com

响应目标

我们将尽最大努力满足参与我们计划的黑客的以下SLA。

第一反应=14天

分流时间到了=30天

解决问题的时间=取决于严重程度

在整个过程中，我们将尽力让您了解我们的进展情况。

披露政策

• 由于这是一个私人计划，请不要讨论此计划或任何漏洞，甚至在计划之外解决的漏洞，而无需明确的萨尔西格书面同意。
• 遵循下面概述的程序规则。

计划规则

• 请提供详细的报告和复制步骤。如果报告不够详细，无法再现该问题，则该问题可能不会标记为triaged。
• 每个报告提交一个漏洞，除非您需要链接漏洞以提供影响。
• 当出现重复时，我们将只对收到的第一份报告进行分类（前提是它可以完全复制）。
• 由一个基本问题引起的多个漏洞将被视为一个有效报告。
• 禁止社会工程（如网络钓鱼、假扮、诽谤）。
• 诚信努力避免隐私违规，销毁数据和我们服务的中断。只与您拥有的帐户或账户持有人的明确许可互动。

超出范围漏洞

报告漏洞时，请考虑

• 攻击情景
• 可利用性
• 安全影响

以下类型的问题被视为超出范围：

• CSP配置。
• X帧配置。
• 单击没有敏感数据的页面，包括引用URI中的“演示”的页面。
• 未经验证的表单或没有敏感操作的表单上的跨站点请求伪造（CSRF）。
• 需要对用户设备进行MITM或物理访问的攻击。
• 之前已知的弱势库，没有工作证明。
• 逗号分隔值（CSV）注入，但未显示漏洞。
• SSL/TLS配置中缺少最佳实践。
• 任何可能导致我们服务中断的活动（DOS）。
• 内容欺骗和文本注入问题不显示攻击向量或不能够修改HTML/CSS。
• 对非认证终点的速率限制或蛮力问题。
• 内容安全策略中缺少最佳做法。
• 在cookie上丢失httponly或安全标志。
• 缺少电子邮件最佳实践（无效，不完整或缺少SPF / DKIM / DMARC记录等）。
• 仅影响过时或未修补浏览器用户的漏洞。
• 软件版本披露/横幅标识问题/描述错误。消息或标题（例如堆栈跟踪、应用程序或服务器错误）。
• 禁忌。
• 打开重定向-除非可以证明其他安全影响
• 需要不太可能的用户交互的问题。

安全港

以符合本政策的方式进行的任何活动将被视为授权行为，我们不会对您提起法律诉讼。如果第三方就本政策下的活动对您提起法律诉讼，我们将采取措施告知您的行为符合本政策。

报告

如果您认为您的查找符合IN-SCOPE资产的有效报告的要求，请使用以下模板来确保在您的报告中包含以下部分：

---模板开始---

＃＃ 标题

##总结

[添加漏洞的摘要]

＃＃ 影响

##复制步骤（POC）

[添加要重现漏洞的具体步骤]

1. [添加步骤]
2. [添加步骤]
3. [添加步骤]
4. […等]

##标准物质

##附件/截图

##建议修复（可选）

##接触

[包括您的电子邮件地址]

---模板端---

将报告通过电子邮件发送至：vdp@salsify.com

保单有效日期

此政策截至7月1日2021年7月