漏洞披露政策| USPTO

美国经济的实力和活力直接取决于保护创新和创造力的新思想和投资的有效机制。美国专利和商标局（“USPTO”或“我们”）致力于确保存储在所有USPTO系统中的数据安全可靠。这一承诺不仅可以由USPTO的专职人员履行，也可以由具有适当专业知识的外部研究人员履行。该政策旨在为安全研究人员（“安全研究人员”或“您”）提供执行漏洞发现活动的明确指导，并传达我们在如何向我们提交发现的漏洞方面的偏好。

该政策描述了该政策涵盖的研究系统和类型，如何向我们发送漏洞报告，以及我们需要安全研究人员等待多长时间才能公开披露漏洞。

我们鼓励安全研究人员在报告本政策范围内的系统中发现的潜在漏洞时，通过以下方法联系我们。

指导方针

一旦安全研究员确定存在漏洞或遇到任何敏感数据（包括个人识别信息、财务信息或包含任何一方商业机密的专有信息），您必须停止测试，通过USPTO公开托管的漏洞披露表提交漏洞报告，不得将此数据披露给任何其他人。

根据该政策，“研究”包括以下活动：

发现真实或潜在的安全问题或遇到任何敏感数据后，请尽快通知我们。
尽一切努力避免侵犯隐私、降低用户体验、中断生产系统以及破坏或操纵数据。
仅在确认漏洞存在所需的范围内使用漏洞。不要使用漏洞攻击来破坏或过滤数据，建立持久的命令行访问权限，或利用此漏洞攻击其他系统。
在您公开披露之前，请为我们提供90个日历日来解决问题。
如果您决定公开披露漏洞，请在90个日历日后，在公开披露之前提前7个工作日通知我们
不要提交大量低质量的报告（信息不足，无法采取行动的报告）。

授权

如果您作为一名安全研究人员，在安全研究期间真诚地遵守此政策，我们将认为您的研究已获授权，将与您合作了解并解决问题，美国专利商标局将不会建议或采取与您的研究相关的法律行动。如果第三方就根据本政策开展的活动向您提起法律诉讼，我们将向该第三方公布此授权。

范围

本政策适用于以下系统和服务：

*.uspto.gov公司

上述未明确列出的任何服务，如任何连接服务，均不在范围内，且无权进行测试。此外，我们供应商的系统中发现的漏洞不在本政策的范围内，应根据供应商的披露政策（如果有）直接向供应商报告。

虽然我们开发和维护其他可上网的系统或服务，但我们要求仅对本文件范围内的系统和服务进行积极的研究和测试。如果有一个特定的系统不在您认为值得测试的范围内，请先联系我们进行讨论。我们可能会随着时间的推移改变这项政策的范围。

此政策适用于安全研究人员（“您”）。

以下测试类型未经授权：

网络拒绝服务（DoS或DDoS）测试或其他影响对系统或数据的访问或损坏的测试
物理测试（例如办公室通道、敞开式门、尾随）、社会工程（例如钓鱼、可视）或任何其他非技术性漏洞测试
远程代码执行（RCE），其中任何代码都在目标机器上远程运行。

报告漏洞

根据本政策提交的信息仅用于防御目的，以缓解或修复漏洞。

我们通过以下方式接受漏洞报告这个表格.

如果您的发现包括新发现的影响产品或服务所有用户而不仅仅是USPTO的漏洞，我们可能会将您的报告分享给网络安全和基础设施安全局，该局将根据其协调的漏洞披露流程处理您的报告。未经明确许可，我们不会分享您的姓名或联系信息，除非法律要求披露。

报告可以匿名提交。如果您共享联系信息，我们将在3个工作日内确认收到您的报告。

通过提交漏洞，您承认您不期望付款，并且您明确放弃与您提交的漏洞相关的任何未来向美国政府提出的付款索赔。

我们希望从你身上看到什么

提供发现漏洞的位置（主机名/URL）以及漏洞利用的潜在影响。
提供重现漏洞所需步骤的详细描述（概念验证脚本或屏幕截图很有帮助）。
在您公开披露之前，请为我们提供90个日历日来解决问题。
如果您决定公开披露漏洞，请在90个日历日后，在公开披露之前提前7个工作日通知我们
如果可能的话，请使用英语。

你能从我们这里得到什么

当您选择与我们共享您的联系信息时，我们承诺以符合适用法律的方式，尽快公开与您进行协调。我们将在三个工作日内确认收到您的报告。

我们将在3个工作日内确认您的报告已收到。
尽我们所能，我们将在90天内确认您是否存在漏洞。我们将尽可能透明地了解我们在补救过程中采取的步骤，包括可能延迟解决的问题或挑战。
我们将保持公开对话来讨论问题。

有关此政策的问题可发送至uspto-vdp@submit.bugcrowd.com.