我们对安全的承诺
MoneyLead 非常重视安全问题。我们感谢安全研究人员的辛勤工作,他们帮助我们保护用户并改进系统。本页面概述了我们的安全漏洞披露政策以及如何负责任地报告安全问题。
联系方式
主要安全电子邮件:
替代联系人:
PGP 密钥指纹:
8BBF 9CA4 3F44 4F46 40C1 E69B 439F CA18 BA1A 9BCE
适用范围
在适用范围:
- moneylead.gg 及其所有子域名
- 所有面向公众的 Web 应用程序
- 所有 API 端点
- 认证和授权机制
- 数据存储和传输安全
超出范围:
- 社会工程攻击
- 物理安全测试
- 拒绝服务(DoS/DDoS)攻击
- 第三方服务(GitHub、CDN 提供商等)
- 垃圾邮件或社交媒体攻击
如何举报
报告安全漏洞时,请包括:
- 描述 - 清晰解释漏洞
- 重现步骤 - 重现问题的详细步骤
- 冲击 - 潜在的安全影响和受影响的用户
- 概念验证 - 任何 PoC 代码或截图
- 环境 - 浏览器、操作系统和其他相关详细信息
- 联系信息 - 我们如何与您联系以进行后续跟进
提示: 对于敏感信息,请使用我们的 PGP 密钥加密您的电子邮件。
响应时间表
1️⃣
初步反应 - 报告提交后 48 小时内
2️⃣
状态更新 - 7天内提供分诊结果
3️⃣
解决时间表 - 取决于严重程度(分类后告知)
4️⃣
有关声明 - 修复部署后协调披露
Safe Harbor
我们认为根据本政策进行的安全研究是:
- ✅ 授权 根据适用法律
- ✅ 免税 服务条款限制可能会干扰研究
- ✅ 合法的 并有助于我们系统的安全
我们不会采取法律行动 针对以下研究人员:
- 尽最大努力避免侵犯和干扰隐私
- 仅与您拥有的帐户或获得明确许可的帐户进行互动
- 不要利用概念验证之外的漏洞
- 及时报告漏洞
- 在我们解决漏洞问题之前,请对漏洞细节保密
加密
为了就敏感漏洞进行安全通信,请使用我们的 PGP 公钥加密您的消息:
# Import our public key
curl https://moneylead.gg/.well-known/pgp-key.txt | gpg --import
# Encrypt your message
gpg --armor --encrypt --recipient security@moneylead.gg message.txt
# Verify our security.txt signature
gpg --verify https://moneylead.gg/.well-known/security.txt我们的关键细节:
- 类型: RSA 4096位
- 指纹: 8BBF 9CA4 3F44 4F46 40C1 E69B 439F CA18 BA1A 9BCE
- 到期时间: 2027-10-14
安全.txt
我们遵循 RFC 9116 security.txt 的标准。您可以在以下位置找到我们的机器可读安全政策:
https://moneylead.gg/.well-known/security.txt
(PGP 签名并符合 RFC 9116)
致谢
我们致力于表彰那些帮助我们提升安全性的安全研究人员。负责任地披露漏洞的研究人员可能包括:
- 在我们的网站上公开承认(经许可)
- 已添加到我们的安全名人堂
- 提供赠品或其他认可
注意:我们目前不提供漏洞赏金计划,但我们非常感谢负责任的披露并将承认您的贡献。