מדיניות דיווח על חולשות
תורגם לנוחותכם. הגרסה באנגלית היא הגרסה המחייבת מבחינה משפטית.
אנחנו מקדמים בברכה מחקר אבטחה בתום לב. אם לדעתכם מצאתם חולשה ב-Syncanix, אנחנו רוצים לדעת — מהר, ישירות, ולפני כולם.
איך מדווחים
שלחו תיאור של הבעיה אל admin@syncanix.com.
- שלבי שחזור או הוכחת היתכנות — מספיק כדי שנוכל לאמת את הבעיה.
- הערכתכם להשפעה: לאילו נתונים או פעולות תוקף יכול להגיע.
- המשטח המושפע — אתר, לוח בקרה, API, ווידג׳ט, שרת MCP או CLI.
למה אנחנו מתחייבים
- אישור קבלה בתוך 3 ימי עסקים מהדיווח.
- מיון והערכת חומרה ראשונית בתוך 7 ימים.
- עדכון סטטוס לפחות כל 14 יום עד לפתרון.
- קרדיט פומבי על הממצא אם תרצו — או אנונימיות מלאה אם תעדיפו.
אין לנו כיום תוכנית באונטי בתש�לום. אם זה ישתנה — העמוד הזה וקובץ ה-security.txt שלנו יהיו הראשונים לומר זאת.
הגנת תום לב
לא ננקוט ולא נתמוך בהליכים משפטיים נגד מחקר שנעשה בתום לב ובמסגרת הכללים האלה:
- אל תיגשו, תשנו או תשמרו נתונים שאינם שלכם; אם נתקלתם בנתונים של מישהו אחר — עצרו ודווחו.
- אל תפגעו בשירות עבור אחרים — בלי בדיקות עומס נגד תשתית משותפת.
- בדקו רק מול חשבונות ודיירים שבבעלותכם או שיצרתם לצורך זה.
היקף
בהיקף: syncanix.com, app.syncanix.com, api.syncanix.com, cdn.syncanix.com (הווידג׳ט להטמעה), משטח ה-MCP פר דייר ו-CLI של syncanix.
מחוץ להיקף:
- ממצאי מניעת שירות או בדיקות עומס.
- הנדסה חברתית, פישינג או תקיפות פיזיות נגד אנשים.
- חולשות בשירותי צד שלישי שאנחנו משתמשים בהם — דווחו לספק (הם מפורטים בעמוד מעבדי המשנה שלנו).
- פלט סורקים אוטומטיים ללא השפעה מוכחת וניתנת לשחזור.
דיווח מתואם
אנא תנו לנו 90 יום מהדיווח (או לוח זמנים שנסכם יחד) לפני כל פרסום פומבי, כדי שהתיקון יגיע קודם לכל דייר. נשמח לתאם פרסום, ולא נשב על בעיה מאומתת.
גרסה קריאה-מכונה: /.well-known/security.txt