漏洞披露政策

本页内容

[ 介绍] [授权] [指导方针] [范围] [订婚规则] [报告漏洞] [披露] [问题 ]

介绍

卫生和人类服务部(HHS)致力于通过保护其免受无罪披露的信息来确保美国公众的安全。此政策旨在提供安全研究人员明确指导,用于开展漏洞发现活动,并在如何向我们提交发现漏洞中的偏好。

这个政策描述了什么系统和研究类型在这一政策下被涵盖,如何发送给我们漏洞报告,和多久我们要求安全研究人员在公开披露漏洞之前等待。

我们希望安全研究人员感到舒适的报告漏洞,他们已经发现 - 如本政策所载 - 所以我们可以解决它们并让用户安全。我们制定了这一政策,以反映我们的价值观,并秉承我们诚信地与我们分享专业知识的安全研究人员的责任感。

授权

如果您在安全研究中遵守本政策的良好努力,我们将考虑您的研究授权,我们将与您迅速了解并解决问题,HHS不会推荐或追求与之相关的法律行动你的研究。

指导方针

根据本政策,“研究”是指您的活动:

  • 在发现真实或潜在的安全问题后,尽快通知我们。
  • 尽一切努力避免隐私违规,劣化用户体验,对生产系统的破坏以及数据的破坏。
  • 仅在确认漏洞存在的情况下才能使用漏洞。请勿使用漏洞利用妥协或抵消数据,建立命令行访问和/或持久性,或者使用exproit将“枢转”到其他系统。
  • 在公开披露之前,为我们提供合理的时间来解决问题。
  • 您没有故意妥协HHS人员的隐私或安全(例如民用雇员或军事成员)或任何第三方。
  • 您没有故意损害任何HHS人员或实体或任何第三方的知识产权或其他商业或经济利益。

一旦确定存在漏洞或遇到任何敏感数据(包括个人身份信息,财务信息或任何缔约方的专有信息或商业秘密),您必须停止测试,立即通知我们,并不会向其他人披露这些数据.

范围

此政策适用于以下系统和服务:

  • design.cms.gov.
  • developer.cms.gov.
  • www.cms.gov.
  • www.hhs.gov.
  • healthdata.gov.
  • insurekidsnow.gov.
  • Foodsafety.gov.
  • organdonor.gov.
  • donaciondeorganos.gov.
  • stopbullying.gov.
  • bhw.hrsa.gov.
  • Bphc.hrsa.gov.
  • hab.hrsa.gov.
  • mchb.hrsa.gov.
  • mchbgrandchallenges.hrsa.gov.
  • newberscreening.hrsa.gov.
  • nhsc.hrsa.gov.
  • poishhelp.hrsa.gov.
  • www.medicaid.gov.
  • www.medicare.gov.
  • Ocio.nih.gov.

与上面列出的域和子域直接关联的系统和服务在范围内。上面未明确列出的任何服务都被排除在范围之外,并且未经授权进行测试。此外,来自我们供应商的非联邦系统中发现的漏洞落在本政策范围之外,并应根据其披露政策(如果有的话)直接向供应商报告。如果您不确定系统或端点是否处于范围内,请联系[email protected]在开始研究之前或者在系统的域名中的安全联系人之前.gov. whois..

虽然我们开发和维护其他互联网可访问的系统或服务,但我们要求在本文档范围所涵盖的系统和服务上进行主动研究和测试。如果您认为优惠测试的范围没有系统,请联系我们首先讨论。随着时间的推移,我们将增加这一政策的范围。

订婚规则

安全研究人员不得:

  • 测试上面“范围”部分中列出的系统以外的任何系统,
  • 除了“报告漏洞”和“披露”部分中的“报告漏洞”部分中阐述,泄露漏洞信息,
  • 从事设施或资源的物理测试,
  • 从事社会工程,
  • 向HHS用户发送未经请求的电子邮件,包括“网络钓鱼”消息,
  • 执行或尝试执行“拒绝服务”或“资源耗尽”攻击,
  • 介绍恶意软件,
  • 以可能降低HHS系统操作的方式测试;或故意损害,破坏或禁用HHS系统,
  • 测试与HHS系统集成或链接的第三方应用程序,网站或服务,
  • 删除,更改,共享,保留或销毁HHS数据,或删除HHS数据无法访问,或者
  • 使用Exproit来exfiltrate数据,建立命令行访问,在HHS系统上建立持久存在,或“枢转”到其他HHS系统。

安全研究人员可能:

  • 仅在记录存在潜在漏洞所需的范围内查看或存储HHS非公共数据。

安全研究人员必须:

  • 在发现漏洞后立即停止测试并通知我们,
  • 在发现非公共数据时立即停止测试并立即通知我们,
  • 在报告漏洞时清除任何存储的HHS非公共数据

报告漏洞

我们接受漏洞报告//hhs.responsibledisclosure.com。报告可以匿名提交。我们此时不支持PGP加密电子邮件。

根据本政策提交的信息仅用于防御目的 - 减轻或修复漏洞。如果您的调查结果包括新发现的漏洞,这些漏洞会影响产品或服务的所有用户,而不是Socleyhhs,我们可以与网络安全和基础设施安全机构共享您的报告,在其上将在其上处理协调漏洞披露过程。未经明确许可,我们不会分享您的姓名或联系信息。

通过点击“提交报告”,您指示您已阅读,理解和同意本政策中描述的指南,以便进行安全研究和披露漏洞或与HHS信息系统相关的漏洞指标,并同意存储在美国政府信息系统上的通信和后续通信的内容。

为了帮助我们分类和提交的优先级,我们建议您的报告:

披露

HHS.致力于及时纠正漏洞。但是,我们认识到,在没有易于可用的纠正措施可能增加的情况下,公开披露漏洞可能增加与风险降低。因此,我们要求您在收到您收到报告的收到后90个日历日内,您将避免共享有关已发现漏洞的信息。如果您认为,如果您在执行纠正措施之前应告知其他人的漏洞,我们要求您提前与我们协调。

我们可能会与此分享漏洞报告网络安全和基础设施安全局(CISA)以及任何受影响的供应商。除非明确许可,否则我们不会分享安全研究人员的姓名或联系数据。

问题

可能会发送有关此政策的问题[email protected]。我们还邀请您与我们联系,并提出改进本政策。

由首席信息官员(OCIO)的办公室创建的内容
内容最后审查了