安全

协同漏洞公开声明

Stanley Black&Decker致力于确保员工,承包商,客户和使用我们产品和服务的其他人的安全和安全性。作为这一承诺的一部分,我们建立了协调漏洞披露计划,为我们的数字产品和信息系统提供指导。

我们认识到,安全研究人员社区经常为组织和更广泛的互联网的安全做出有价值的贡献,促进与社区的密切关系将有助于提高我们自己的安全。我们鼓励您向我们披露史坦利百得数码产品、网站或网络应用程序的任何漏洞。

史丹利百德公司漏洞披露政策

目的

该政策旨在为安全研究人员提供明确的指南,指导他们针对Stanley Black & Decker的数字产品和信息系统进行漏洞发现活动,并将发现的漏洞提交给Stanley Black & Decker。


概述

安全研究人员社区经常为组织和更广泛的互联网的安全做出有价值的贡献,Stanley Black & Decker认识到,促进与社区的密切关系将有助于提高我们自己的安全。

根据本政策提交给史丹利百得的信息将用于防御目的——减轻或补救我们的数字产品、网络或应用程序,或我们的供应商的应用程序中的漏洞。


观众

本政策仅适用于涉及安全研究测试过程的安全研究员的活动,并与Stanley Black & Decker共享结果。


范围

由百得拥有、运营或控制的任何数字产品、面向公众的网站或网络API,包括驻留在这些产品和网站上的网络应用程序。


如何提交报告

请提供该漏洞的详细摘要,包括:

  • 类型的问题
  • 包含错误的软件的数字产品、版本和配置
  • 复制问题的步骤说明
  • 概念验证
  • 问题影响
  • 建议的缓解或补救行动(视情况而定)。


的指导方针

史丹利百得将真诚地与研究人员合作,根据这些指导方针发现、测试和提交漏洞或漏洞指标。请将你的活动限制在以下范围:

  • 检测漏洞或确定与漏洞有关的指标的测试;或
  • 披露史坦利百得公司的弱点、缺陷或缺陷。

此外,我们要求您在测试过程中考虑以下事项:

  • 您的研究行动不应损害或利用您确定的任何漏洞或任何现有的已发表的漏洞。
  • 您的研究行动必须避免访问或检索任何史丹利百得正在传输和静止数据的内容。
  • 在任何情况下都不应该泄露任何数据。
  • 您不应损害史丹利百得人员或任何第三方的隐私或安全。
  • 您不应有意损害任何史丹利百得人员或实体或任何第三方的知识产权或商业利益。
  • 史丹利·布莱克和德克尔支持在教育安全社区的努力中披露信息。如果您发表了您的作品,请编辑所有涉及到斯坦利·布莱克和德克尔名字的内容,以及任何来自该名称的其他敏感或识别性材料,除非我们已给予书面许可使用。
  • 你不应该进行拒绝服务(DoS)或分布式拒绝服务(DDoS)测试。
  • 你不应该对史丹利百得员工或承包商进行任何类型的社会工程,包括鱼叉式网络钓鱼或勒索软件。
  • 你不应该提交大量低质量的报告。

如果在任何时候您不确定是否要继续测试,请与我们的团队联系。


你能从我们这里期待什么

我们认真对待每一份报告,并欣赏安全研究人员的努力。我们将努力调查每份报告,以确保采取适当的步骤来缓解风险和修复报告的漏洞。

史丹利百得拥有独特的信息和通信技术足迹,紧密交织在一起,并在全球部署。在调查任何漏洞的影响并提供补救计划时,Stanley Black & Decker必须格外小心。在我们的补救计划过程中,我们恳请您在此期间保持耐心。

在7个工作日内,我们将确认收到您的报告。

史丹利百德公司的安全团队将对提交的报告进行调查。请记住,我们可能会联系你以获得进一步的信息。我们会尽最大努力通过与您沟通的方式来确认该漏洞的存在。我们将酌情让研究人员了解漏洞补救的进展。

如有必要,如果我们无法解决任何沟通问题或任何其他问题,则史丹利百得可以调用中立第三方的服务来帮助解决任何问题。


法律

您必须遵守所有适用的国际、联邦、州和地方法律,包括与您的安全研究活动或本漏洞披露计划的其他参与相关的适用的数据保护法。

史丹利百得公司不授权,许可,或明确或通常允许任何人,包括任何个人、群体的个体,财团,伙伴关系,或任何其他业务或法律实体参与任何安全研究或脆弱性、威胁信息披露活动与此并不一致的政策和法律。如果您从事任何与本政策或法律不一致的活动,您可能会受到刑事和/或民事责任。

您同意,在任何情况下,未经史丹利百得事先书面同意,您不得(i)在广告、宣传或其他方面使用史丹利百得或其联属公司的名称或任何商业名称、商标、贸易装置、服务标志、符号或任何缩写,或(ii)直接或间接代表您根据史坦利百得或其联属公司批准或认可而提供的任何服务或工作。

您同意,您在本次活动中获得或访问的任何个人身份信息和任何其他公司信息(您发现的漏洞除外)均为史丹利百得的机密。您应严格保密此类机密信息,不得复制、复制、出售、转让、许可、市场、转让或以其他方式处置、给予或披露此类信息给第三方,或将此类信息用于除执行您的安全研究工作以外的任何目的。

通过点击“提交报告”,您表示您已经阅读、理解并同意本政策中描述的关于进行与斯坦利百得数字产品和信息系统相关的安全研究和漏洞或漏洞指标披露的指导方针。并同意存储沟通及后续沟通的内容。


安全港

如果您按照本政策中规定的限制和指导方针进行安全研究和漏洞披露活动,史丹利百得将不会发起或建议与此类活动相关的任何执法或民事诉讼。如果任何安全研究或漏洞披露活动涉及非史丹利百得实体(如Craftsman许可方或史丹利供应商)的产品、网络、系统、信息、应用程序、产品或服务,史丹利百得将采取措施让大家知道你们的活动是根据并遵守此规定进行的

史丹利百得可随时修改本政策条款或终止本政策。

原稿:2019年7月

最后更新日期:2020年9月