Directives du programme de divulgation ThreatDown

Divulgation responsable ou non responsable

D'après notre expérience, (a) la divulgation du code d'exploitation de la preuve de concept, (b) les détails inutiles pour faire passer le message ou (c) la divulgation des détails de la vulnérabilité avant la disponibilité d'un correctif constituent une divulgation irresponsable qui fait plus de mal que de bien, car elle attire inutilement l'attention sur un problème de sécurité. Par conséquent, le programme ThreatDown n'accordera des primes aux personnes qui signalent des bogues que si elles respectent les directives de divulgation responsable.

Qu'entend-on par « prime aux bogues » ?

ThreatDown des primes en espèces pour les bogues les plus intéressants. Le montant attribué pour les bogues intéressants dépend de la gravité et de l'exploitabilité du bogue. Cependant, ThreatDown le droit d'augmenter ce montant au cas par cas.

Quelles obligations de confidentialité dois-je respecter lorsque je soumets une proposition ?

Si vous nous envoyez une soumission pour ce programme, vous acceptez de ne jamais divulguer le code d'exploitation fonctionnel (y compris les binaires de ce code) pour la vulnérabilité applicable à toute autre entité, sauf si ThreatDown ce code accessible au public ou si vous êtes tenu par la loi de le divulguer. Cela ne vous empêche pas de discuter de la vulnérabilité ou de montrer les effets de l'exploitation dans le code.

Quels types de vulnérabilités le programme CVD accepte-t-il ?

Veuillez suivre les directives de notre programme sur la plateforme HackerOne.

Dernière modification le 9 janvier 2026