根据本政策提交的信息仅用于防御目的,以缓解或修复漏洞。
我们通过以下方式接受漏洞报告这个表格.
如果您的发现包括新发现的影响产品或服务所有用户而不仅仅是USPTO的漏洞,我们可能会将您的报告分享给网络安全和基础设施安全局,该局将根据其协调的漏洞披露流程处理您的报告。未经明确许可,我们不会分享您的姓名或联系信息,除非法律要求披露。
报告可以匿名提交。如果您共享联系信息,我们将在3个工作日内确认收到您的报告。
通过提交漏洞,您承认您不期望付款,并且您明确放弃与您提交的漏洞相关的任何未来向美国政府提出的付款索赔。
我们希望从你身上看到什么
- 提供发现漏洞的位置(主机名/URL)以及漏洞利用的潜在影响。
- 提供重现漏洞所需步骤的详细描述(概念验证脚本或屏幕截图很有帮助)。
- 在您公开披露之前,请为我们提供90个日历日来解决问题。
- 如果您决定公开披露漏洞,请在90个日历日后,在公开披露之前提前7个工作日通知我们
- 如果可能的话,请使用英语。
你能从我们这里得到什么
当您选择与我们共享您的联系信息时,我们承诺以符合适用法律的方式,尽快公开与您进行协调。我们将在三个工作日内确认收到您的报告。
- 我们将在3个工作日内确认您的报告已收到。
- 尽我们所能,我们将在90天内确认您是否存在漏洞。我们将尽可能透明地了解我们在补救过程中采取的步骤,包括可能延迟解决的问题或挑战。
- 我们将保持公开对话来讨论问题。
有关此政策的问题可发送至uspto-vdp@submit.bugcrowd.com.