安全漏洞披露政策

版本 v3.0.0 | 生效日期：2026年5月16日

1. 概述

FIBEMATE 致力于为用户提供安全可靠的通讯服务。我们高度重视安全问题，并欢迎安全研究人员和用户帮助我们发现和修复潜在漏洞。

本政策描述了我们如何处理安全漏洞报告，以及研究人员在测试我们的服务时应遵循的规则。

2. 报告范围

我们接受以下类型的漏洞报告：

• 加密实现漏洞（如密钥泄露、算法缺陷）
• 认证/授权绕过
• 跨站脚本攻击（XSS）
• 跨站请求伪造（CSRF）
• SQL注入或其他数据库漏洞
• 服务器端请求伪造（SSRF）
• 身份验证绕过
• 敏感信息泄露
• 权限提升
• 远程代码执行

3. 不在范围内的测试

以下行为不在本政策范围内，请勿进行：

• 对第三方服务的测试
• 社会工程学攻击（包括针对员工或用户）
• 物理安全测试
• 拒绝服务（DoS/DDoS）攻击
• 自动化批量扫描（请手动验证漏洞）
• 访问、修改或删除非授权数据
• 影响其他用户的服务可用性

4. 如何报告漏洞

请在报告中包含以下信息：

• 漏洞类型和严重程度
• 受影响的组件/页面
• 详细的重现步骤
• 概念验证代码（如有）
• 潜在影响评估
• 建议的修复方案（如有）

5. 漏洞严重程度分级

我们使用以下标准评估漏洞严重程度：

• 严重 可导致用户数据大规模泄露、系统完全被控制、加密安全完全失效
• 高危 可导致用户数据泄露、认证绕过、权限提升
• 中危 可导致部分用户信息泄露、有限的服务影响
• 低危 轻微问题，影响范围有限

6. 响应时间

我们承诺：

• 严重漏洞：24小时内确认，72小时内修复或缓解
• 高危漏洞：48小时内确认，7天内修复
• 中危漏洞：72小时内确认，14天内修复
• 低危漏洞：7天内确认，30天内修复

7. 安全港原则

对于遵循本政策进行测试的研究人员，我们承诺：

• 不会发起法律诉讼
• 不会向执法机构报告您的活动
• 不会暂停或终止您的账户

前提条件：您必须遵守本政策所有条款，及时报告发现的漏洞，不泄露漏洞细节，不影响其他用户。

8. 漏洞披露准则

为确保用户安全，我们要求研究人员：

• 在漏洞修复前不要公开披露漏洞细节
• 给予我们合理的时间修复漏洞（通常90天）
• 协调披露时间，确保用户安全
• 如需公开披露，请先与我们沟通

9. 奖励计划

我们目前不提供现金奖励，但对于有效的漏洞报告，我们将：

• 在我们的安全感谢页面公开致谢（可选）
• 提供 FIBEMATE 高级功能使用权
• 重大漏洞发现者可获得特别纪念品

10. 联系我们

如有任何关于本政策的疑问，请联系：

• 安全团队：support@fibemate.net (Security)
• 一般问题：support@fibemate.net