Diretrizes para comunicar sobre uma vulnerabilidade de segurança:
A Sophos tem um programa de recompensa por bug para premiar os pesquisadores por suas descobertas. Se você acredita que encontrou uma vulnerabilidade em um produto, sistema ou recurso virtual da Sophos, envie um relatório sobre a vulnerabilidade via bugcrowd.com/sophos. Não divulgue nenhum detalhe sem antes contatar a Sophos e sem firmar um contrato por escrito com a Sophos previamente.
Política de divulgação da Sophos
Na posição de uma empresa de segurança, manter nossos clientes protegidos é a missão principal da Sophos. A Sophos segue um processo de ciclo de vida de desenvolvimento e segurança para integrar a proteção a seus produtos desde seu design até o desenvolvimento e lançamento de novas versões. Contudo, às vezes, algumas vulnerabilidades se esquivam da detecção, ou novos exploits são descobertos depois de um produto já estar no mercado.
A Sophos investiga todos os relatórios sobre vulnerabilidades recebidos e coloca em prática o seu melhor plano de ação para proteger nossos clientes.
Se você for um pesquisador ou pesquisadora de segurança e tiver descoberto uma vulnerabilidade de segurança em nossos produtos, agradecemos antecipadamente a sua ajuda e por você divulgar o problema para nós de maneira responsável.
Se você identificar uma vulnerabilidade verificada de acordo com a Política de divulgação responsável da Sophos, a Sophos se compromete a:
- Confirmar prontamente o recebimento do seu relatório de vulnerabilidade (em 48 horas do envio, horário comercial)
- Colaborar e trabalhar com você para entender a natureza do problema e definir cronogramas de correção e publicação conjuntamente
- Notificar você quando a vulnerabilidade for resolvida, para ser reavaliada e confirmar sua correção
- Reconhecer publicamente a sua responsabilidade pela divulgação (se você deseja receber o crédito pela descoberta)
Se considerar que o problema que você identificou ou seu relatório está fora do escopo definido em bugcrowd.com/sophos, entre em contato conosco em security-alert@sophos.com. Nossa chave PGP está disponível aqui.
A Sophos apoia a divulgação responsável e assume a responsabilidade de divulgar vulnerabilidades do produto aos nossos clientes. Para incentivar a divulgação responsável, pedimos a todos os pesquisadores que sigam as Diretrizes de divulgação responsável:
- Dando à Sophos a oportunidade de corrigir a vulnerabilidade em um período de tempo razoável antes de divulgar publicamente o problema identificado, para garantir que a Sophos tenha desenvolvido e testado exaustivamente um patch e tenha liberado esse patch aos clientes licenciados no momento da divulgação.
- Empregando um esforço de boa-fé para evitar violações de privacidade bem como a destruição, interrupção ou segregação de nossos serviços.
- Não modificando nem destruindo dados que não pertençam a você.
As Diretrizes de divulgação responsável propõem que os clientes têm a obrigação de aplicar patches a seus sistemas tão logo seja possível, esperando-se que isso se cumpra em até 30 dias após o lançamento da atualização ou patch de segurança. A Sophos informa a seus clientes que as explorações aos sistemas de segurança normalmente se dão por engenharia reversa de atualizações de segurança publicadas, recomendando assim que seus clientes apliquem patches imediatamente.
A equipe sênior de gerenciamento da Sophos tem total responsabilidade sobre esta política e pela revisão da eficiência das ações de resposta a problemas apontados sob esta política. Vários administradores da Sophos têm em suas incumbências diárias a responsabilidade operacional por esta política, devendo assegurar que todos os gerentes e outros funcionários que lidam com problemas ou investigações sob esta política recebam treinamento apropriado regularmente.
O Diretor de Tecnologia da Sophos e nosso Conselho Geral revisam anualmente essa política de divulgação de vulnerabilidade sob a perspectiva legal e operacional.
-----BEGIN PGP PUBLIC KEY BLOCK-----
mQINBGFpfz8BEAC/4+St4fvTPrKDDbBsrd7KzSEX1TVLzGtGMiDMgtZMbP7nU/DY cvSX36TrVu4oPdck3kGHtVMIwEMSeILTBh2opWR4YO7X8AELShwgoyiiemOLxRuR Tg9WIBBTSfVTS+h0UW1XGqKw9enmGmUctaQHFOzSk9YoXPm3fPzMToIjAsZFGeyS m+sZ3cqEUoHIqLON8w2gmeiyRWhz/awkMEdwKRJacspIWFaItrj3RqzbyzcTQIJ/ rZxsW8JOXbPXEti5SVmEdrUTEPVFZ8F8pQN2i4A4WTVwCj4VuUZb0fuWhqQ78ZIg zL03xYy4bQW8OtG9cvL67u4j38rg32ApSnvqJ30HTbpdFZbv5USUBaZ27s5droqE FfIRbHcsYhKTXvaw+ubkPeOGxypx2UZSBV/sg1FMdmGWi0n+hV46238mf8r6nMAl GHiq44Sei3sm9Mte3zQYbzi51wJofWDDELytEq6VCfVwNYRdbQdUe48heQKADCIE dx55xnr08oBveCbvuj0g3PX+hzD1L3iElIpQbdObUQ2oogAhwvJQ5HguoFgF31Xb QcQrllAmXssg1eOSvsSz2ZlDiHNuhemE1BhommLwvQ1AOL7DjlM6vquG/7QA42FU za+zFGFWgIwEM2s90A6UUwxGs0nppk6R4ocXr/3oB1CsIGyg4iSJHj1sPwARAQAB tBlzZWN1cml0eS1hbGVydEBzb3Bob3MuY29tiQJUBBMBCAA+FiEEITV1npiLYm80 1e9fuMPkR7Ux52QFAmFpfz8CGwMFCQHhM4AFCwkIBwIGFQgJCgsCBBYCAwECHgEC F4AACgkQuMPkR7Ux52SlMw/+MQNYuuks4MxcgBzfoZSBfiBYYo1hiai6At/loskN rXKxIjbKyFciF/1NPM/Ht/M3sGd98Jz7+f+H84OmtvNdcWiivp75KYbY6evXCGEj Bz9Us9gnZjTjZp5JE5H9Ygp88K29pkCgaPVQGn7emN601d2tkmV08fqZltewWHXg XE6VWUk6LsDP1vw3FP+W7BLwgwk0VoZinAS5WORNWwfjnH6CdFQC6qgDYHhgCLR1 huitjKIs5GhKd67h8ILd5Z0eY3UV7wiITL+8eeaWJqgUcX0TFQyfg32Wq1Hcs0Kv elnimftgnnBZWmWLoineSl4PvsZajjOevGh6WUCcVxPIuPTWZ+8p1Li2rYIYqDEL jCdtPb5/ALKiPljrDUPW5QN3+VfpR2lc3hv6iP+VofVegoMpBi7QbL2m1ttNJ2ZQ 0E7ooyQmlpU+FJX0NEYGBeGEeXy3fICEUNnuyAsPGGVksQsRcCFvVpDgUhLfsml/ c7m9PXZUP+wPtOd/nDvMRKDIKkx4KqXBdsWDrSGdV1j4o/hBsyOAsD0BhBf+NwYj viZFUhsojbd8aNzO/+wmZjyR6nbX+M/Y06ieKR95yaCA2fiB5vLoMTuZOHTPXg/2 8KNcQuIbTk2yAVKbuYr32/PkzfkskUyrlGFyQaU0Eh3B8HCK6JUyNXuHxa0SxSBG NBq5Ag0EYWl/PwEQAN9FfPHWfFfTuzX7JRnvPH+Wc6Dhb3HbJi3G1D8Fm4DaQ3vm 2oizoPGBU463AyCqSDldjaMxwcXyMYW0ZNPSLDMngBoHb+ZbNfDbUNBZyQlzvWiK G3qx9u9LTUbGprBbDOdAXUh1j5+pbZR07bBOuF2rspXstgtFFEI+Y91jDJmvWKh8 Neox9yD1Wf8epBxWJIl+Wkvh7WOTiJKSt4OPO2Ac6wC9V9UQnGBBtHpeJaIEI+Fs GDnVcwOnDljS7MWc0hhuYSXr4gwlnmSTAdzi+QyQnFJRKUGjFFx5SpAydWfgmCWQ rBeg/zoM+no9rPcvBdcdYa9aUEwhBQb3B+L2uuwNtsUY995pQ81ssgguvzEbafvM EUGG+LPhCuFhFsukvhmUpz5ro/I498MpH+k7nnm2GGuYH3zsvqh6xjWG/Kxda7ar CmHINcXQYqqQtUx6bcfKNRaqOCCpP0DqAvsS67jekTUlHH+/N4DHOrxRkPrtb9IX i9zlT2jnHoO+rLv32UuxCYjMvr9PD8qHf1bJ9O1L7lPHMcMdutBaHqCRCJR8g9QA kAtqPM1pvSO2t4qcm5uqApMn+SXPtNNDO/Rjwd0l25uT5fgO0U6Ci6sz7aiu/fmT WfzxCQTpO/cyai+HJN/0LU7Hgx35vIV+3s/Hw7Fwmpv37QIG0v3lrmL1vFlDABEB AAGJAjwEGAEIACYWIQQhNXWemItibzTV71+4w+RHtTHnZAUCYWl/PwIbDAUJAeEz gAAKCRC4w+RHtTHnZN+MEACinBoXXVf3gYuYBEFY9t8w3NOATMpu3K67X+9sL4X2 MKdqupprj23OJvmAE/vKvEc7ueqiPQohW/dxngQ9bl4xhERZBP8XzGs1N1DgJ9l8 7oY5nde7qBtkNRQqKwtBQry/0F074dEvcBDglnJUbp/d3yiCIsqYNgVqWhkMHqmS WKE0ZiVHiSkA0MrpX0boM23VQq3ppud+38X5X13hyTEFBLIiQFptc1t8uhZLDiyb Jciv9WF7+W04frh19kCfiSW8AGt+iLF81FISTMZzN5CFGthic4eluUnm3S8qpT4/ 3yLebzL01qAI3DHElVREyHzekx/uSLgSHkYR5cAZgxPSNkIrq53s/H5ugW3XclIm 88mX5CCRy1WdturOuZzOI6OpIre93JT5yY7mwZLuZPcyKIkWQq03QHTrOXXm9keB 3GNaBfZ8+GWlQb18HacdDbkyVWKtrvnKQ4t7WfAwLk/OplI844Gr1TysU+XvRbBm ktaDQCWplsd58Ne2o/jHiymvi4oBA2UphgIt8mesErMQ8lDePvZHhsAPdix6dbuc esQdWn403+3kShedixzRctyRA1N8yTnH4xrEIAcVOeXbCMeW0AJR4eDH7o6SihM1 E+ZuD+eo0V1LGW2zudpysW0Mt3NTHHchPUHuwTsdnllIMuwPA7zCX6HhKPN5NTUA
Aw==
=Ksor
-----END PGP PUBLIC KEY BLOCK-----