[介绍] [授权] [指导方针] [范围] [交战规则] [报告漏洞] [披露] [致谢] [问题]
介绍
卫生与公众服务部(HHS)致力于通过保护美国公众的信息不被无理披露来确保美国公众的安全。该政策旨在为安全研究人员提供进行漏洞发现活动的明确指导,并传达我们在如何向我们提交发现的漏洞方面的偏好。
本政策描述什么样的研究体系和类型属于本保单的承保范围如何发送给我们漏洞报告,以及多长时间我们要求安全研究人员在公开披露漏洞之前等待。
我们希望安全研究人员能够放心地报告他们发现的漏洞(如本政策所述),以便我们能够修复这些漏洞并保护用户的安全。我们制定这项政策是为了反映我们的价值观,并维护我们对安全研究人员的责任感,他们真诚地与我们分享他们的专业知识。
授权
如果您在安全研究期间真诚地努力遵守此政策,我们将认为您的研究已获授权,我们将与您合作以迅速了解并解决问题,HHS不会建议或采取与您的研究相关的法律行动。
指导方针
根据这项政策,“研究”是指您在其中:
- 发现真实或潜在的安全问题后,请尽快通知我们。
- 尽一切努力避免侵犯隐私、降低用户体验、中断生产系统以及破坏或操纵数据。
- 仅在确认漏洞存在所需的程度上使用漏洞攻击。不要使用漏洞攻击来破坏或过滤数据,建立命令行访问和/或持久性,或使用漏洞攻击“转移”到其他系统。
- 在您公开披露之前,请为我们提供合理的时间来解决问题。
- 您不得故意损害卫生与公众服务部人员(如文职员工或军事人员)或任何第三方的隐私或安全。
- 您不会故意损害任何HHS人员或实体或任何第三方的知识产权或其他商业或财务利益。
一旦您确定存在漏洞或遇到任何敏感数据(包括个人识别信息、财务信息或任何一方的专有信息或商业机密),您必须停止测试,立即通知我们,并且不要将此数据透露给任何其他人.
范围
与下面列出的域关联的所有系统和服务都在作用域中。同样,除非明确排除,否则每个列表的子域始终在作用域内。此外,任何与本政策有链接的网站都应纳入考虑范围。我们供应商在非联邦系统中发现的漏洞不属于本政策的范围,应根据供应商的披露政策(如果有)直接向供应商报告。如果您不确定系统或端点是否在范围内,请联系support@responsibledisclosure.com在开始研究之前,或在安全联系人处联系.gov世界卫生组织.
虽然我们开发和维护其他可上网的系统或服务,但我们要求仅对本文件范围内的系统和服务进行积极的研究和测试。如果有一个系统不在您认为值得测试的范围内,请先联系我们进行讨论。随着时间的推移,我们将扩大这项政策的范围。
| 组织 |
域 |
|---|
| 儿童和家庭管理局(ACF) |
acf.gov公司
儿童保育.gov
childwelfare.gov儿童福利基金会
gov之父
澳大利亚中央银行hhs.gov
ncands.net网络
ssbgportal.net网站
cfsrportal.org网站
|
|---|
| 社区生活管理(ACL) |
acl.gov公司
agingstats.gov公司
澳大利亚政府
老年护理.gov
长期护理.gov
捕鲸.gov
怀特豪斯会议(whitehouseconferenceonaging.gov)
名称.net
|
|---|
| 医疗保健研究和质量机构(AHRQ) |
mepstech.com网站
ahcpr.gov政府
ahrq.gov政府
指南.gov
guidelines.gov指南
证书.hhs.gov
cahpsusernetwork.net网站
ahrqadmin.org网站
ahrqdev.org网站
chainonline.org网站
mepsdocs.org网站
pccds-ln.org网站
pcorcds-ln.org
psoppc.org网站
sitenv.org网站
uspreventiveservicestaskforce.org
|
|---|
| 疾病控制和预防中心(CDC) |
cdc.gov公司
cdcpartners.gov公司
冠状病毒.gov
flu.gov公司
健康指标.gov
百万心脏.hhs.gov
ncvhs.hhs.gov网站
瓦尔斯.hhs.gov
流行病lu.gov
选择器.gov
简单报告.gov
电子烟.通用外科.gov
疫苗.gov
vaccines.gov公司
真空.gov
真空.gov
真空.gov
真空.gov
社区指南.org
|
|---|
| 医疗保险和医疗补助服务中心(CMS) |
csscoperations.com网站
cms.gov公司
cuidadodesalud.gov公司
卫生保健.gov
cms.hhs.gov公司
保险基茨诺夫.gov
医疗保险.gov
medicalbillrights.gov公司
医疗保险.gov
mymedicare.gov公司
qualitynet.org网站
hcgov.us公司
|
|---|
| 食品和药物管理局(FDA) |
无β杆菌.gov
fda.gov公司
博客.fda.gov
ceportal.fda.gov公司
政府仪表盘.fda.gov
标签.fda.gov
无β杆菌.hhs.gov
nextlegends.gov网站
特雷尔科斯特戈夫
烟草.gov
|
|---|
| 卫生资源与服务管理局(HRSA) |
cares.linkhealth.com护理
covid19.linkhealth.com
donaciondeorgonas.gov(多纳辛德有机食品公司)
telehealth.hhs.gov网站
hrsa.gov公司
组织者.gov
hv-impact.edc.org网站
|
|---|
| 印度卫生服务(IHS) |
ihs.gov公司
方向.net
|
|---|
| 美国国立卫生研究院(NIH) |
阿尔茨海默病.gov
脑.gov
脑健康.gov
癌症.gov
脑残政府
clinicaltrial.gov公司
临床试验.gov
大学链接预防.gov
糖尿病委员会.gov
文档线.gov
吸毒.gov
爱迪生.gov
everytrycounts.gov网站
基因组.gov
衷心.gov
协议构建者.hhs.gov
asrp.hhs.gov网站
collaborate-acl.hhs.gov公司
das.hhs.gov数据库
ocrportal.hhs.gov网站
oga.hhs.gov网站
omhaportal.hhs.gov公司
安全报告.hhs.gov
iedison.gov公司
定位器.gov
medlineplus.gov公司
mesh.gov网
ncifcrf.gov公司
日本政府
国家土地管理局
nnlm.gov公司
公共.gov
无烟.gov
脑倡议.gov
这个自由生活.gov
至21.gov
ncats.io
braintattackcoalition.org网站
charmm.org网站
citdbase.org网站
冠状病毒预防网.org
ctsu.org网站
gem-measures.org网站
genomereference.org网站
nci-fyi.org网站
ncihub.org网站
nhlbiwgs.org网站
proteincapture.org网站
科学基金会
|
|---|
| 监察长办公室(OIG) |
hhsoig.gov公司
oig.hhs.gov政府
|
|---|
| 秘书办公室(OS) |
worklife4you.com
aids.gov网站
生物伦理学.gov
covid.gov公司
covidtest.gov公司
covidtests.gov公司
dhhs.gov公司
适合.gov
食品安全.gov
girlshealth.gov公司
grants.gov公司
grantsolutions.gov公司
健康.gov
健康数据.gov
健康搜寻者.gov
健康.gov
健康ople.gov
hhs.gov网站
高戈夫
医疗对策.gov
阿片类.gov
菲戈夫
psc.gov公司
stopbulying.gov公司
浪涌总干事.gov
usphs.gov公司
女性健康.gov
年轻.gov
oahpmdata.net网站
|
|---|
| 药物滥用和精神卫生服务管理局(SAMHSA) |
查找处理.gov
心理健康.gov
恢复月.gov
samhsa.gov公司
停止酗酒.gov
|
|---|
