漏洞管理策略

在平凯星辰我们非常重视产品相关的安全问题。如果您在使用或测试我们产品的过程中发现安全漏洞，我们鼓励您报告给我们的安全团队，以便帮助公司提升产品和业务的安全性，为我们的用户提供更好的安全保障。

漏洞公开收集策略

报送漏洞

如果您发现平凯数据库产品漏洞或遇到涉及平凯数据库产品漏洞的安全事件，可通过 security@pingcap.cn 向平凯数据库安全团队报告。

请按照以下格式提供尽可能多的漏洞信息（* 表示必填项）：

• 漏洞标题*：
• 概述*：
• 受影响的组件和版本号*：
• CVE 编号（如果有）：
• 漏洞验证流程*：
• 联系信息*：

平凯数据库安全团队将在您提交漏洞后 2 个工作日内确认漏洞并与您取得联系。

提示：请不要利用漏洞下载或者获取超出漏洞利用证明的数据，删除或者修改用户数据，这类操作将视作恶意攻击。

漏洞接受范围

超出范围

• 物理攻击
• 社会工程学攻击、近源攻击
• 缺少 HTTP 安全标头或者需启用特定的 HTTP 方法
• 邮箱 SPF 配置问题
• 任何 API 接口的蛮力攻击
• 网站页面点击劫持
• HTML 内容注入
• robots.txt 文件的泄露
• 电子邮件欺骗
• 页面的错误信息
• Golang 或者 javascript 函数错误
• API 接口无速率限制
• 非敏感文件泄露
• DDOS 或者 HTTP 洪水攻击造成的拒绝服务
• 服务器版本信息泄露
• 弱密码策略或者数据库 hash 加盐问题
• SSL/TLS 版本过低
• 依赖的第三方组件存在漏洞但无法验证的

保密原则

修复安全漏洞后，我们将公开感谢漏洞提交者。但是，为避免负面影响，并根据法律要求，请对漏洞信息保密，直至漏洞修复。请遵守以下行为准则，我们将不胜感激。

• 该漏洞在平凯数据库发布补丁之前不会对外或向第三方公开：在平凯数据库相关方接收到漏洞信息、完成漏洞处置前及预定时限前不应提前公开发布漏洞相关信息。针对不同类型漏洞的修复规律和所需周期，各方研判后协商拟定灵活实际的漏洞公开披露时间。
• 不要透露漏洞的详细细节信息，例如漏洞利用代码，避免漏洞信息被不当利用。
• 遵守知识产权保护法律法规及商业秘密协定。

漏洞披露策略

漏洞披露策略用于向用户披露平凯数据库的产品漏洞信息，帮助用户及时抵御安全威胁。

• 一旦我们确认并核实了漏洞，我们将及时在工业和信息化部网络安全威胁和漏洞信息共享平台进行上报漏洞。报告内容将涵盖网络产品的名称、版本，以及漏洞的技术特点、潜在危害和可能的影响。
• 在漏洞确认后，我们会积极推进产品漏洞的修复工作，并将具体的漏洞信息及修复建议及时通知至客户。