سياسة الإفصاح عن الثغرات

كيف تبلّغ

أرسل وصفًا للمشكلة إلى admin@syncanix.com.

• خطوات إعادة الإنتاج، أو إثبات مفهوم — ما يكفي لنتأكد من المشكلة.
• تقييمك للأثر: ما البيانات أو الإجراءات التي قد يصل إليها المهاجم.
• السطح المتأثر — الموقع، أو لوحة التحكم، أو API، أو الودجت، أو خادم MCP، أو CLI.

ما نلتزم به

• إشعار بالاستلام خلال 3 أيام عمل من بلاغك.
• الفرز وتقييم أولي للخطورة خلال 7 أيام.
• تحديث للحالة كل 14 يومًا على الأقل حتى المعالجة.
• نَسب الاكتشاف إليك علنًا إن رغبت — أو إخفاء هويتك بالكامل إن فضّلت.

لا نُشغّل اليوم برنامج مكافآت مدفوعًا. إن تغيّر ذلك فستكون هذه الصفحة وملف security.txt أول من يعلن.

حماية حسن النية

لن نلاحق قانونيًا أو ندعم ملاحقة أي بحث أُجري بحسن نية وضمن هذه القواعد:

• لا تصل إلى بيانات ليست لك ولا تعدّلها ولا تحتفظ بها؛ وإن صادفت بيانات غيرك فتوقف وبلّغ.
• لا تُضعف الخدمة للآخرين — لا اختبارات حجمية ضد البنية المشتركة.
• اختبر فقط على حسابات ومستأجرين تملكها أو أنشأتها لهذا الغرض.

النطاق

ضمن النطاق: syncanix.com وapp.syncanix.com وapi.syncanix.com وcdn.syncanix.com (الودجت القابل للتضمين) وسطح MCP لكل مستأجر وأداة syncanix CLI.

خارج النطاق:

• نتائج حجب الخدمة أو الاختبارات الحجمية.
• الهندسة الاجتماعية أو التصيّد أو الهجمات المادية على الأشخاص.
• ثغرات خدمات الأطراف الثالثة التي نستخدمها — بلّغ عنها لدى المزوّد (نوردها في صفحة المعالجين الفرعيين).
• مخرجات الفاحصات الآلية دون أثر مُثبت قابل لإعادة الإنتاج.

الإفصاح المنسّق

نرجو منحنا 90 يومًا من بلاغك (أو مهلة نتفق عليها معًا) قبل أي إفصاح علني، حتى يصل الإصلاح إلى كل مستأجر أولًا. يسعدنا تنسيق النشر، ولن نتجاهل مشكلة مؤكدة.