跳转至内容部分

漏洞披露政策

最后更新:2026/6/17 

简介

在 Ivanti,我们致力于确保企业软件产品的安全性和完整性。我们认识到,安全研究人员、道德黑客以及更广泛的安全社区在识别和报告漏洞方面发挥着至关重要的作用。本《漏洞披露政策》阐明了我们与安全研究人员协作以提升软件安全性的承诺,并概述了报告漏洞的步骤、我们对您的期望,以及您可以从我们这里获得的支持。

如果您遇到任何涉及 Ivanti 产品或解决方案的安全相关问题,包括与 Ivanti 收购的公司产品(如 Pulse Secure、Cherwell 和 MobileIron)相关的问题,或者您发现与 Ivanti 基础设施相关的安全问题,我们鼓励您通过“报告渠道”中所述的渠道之一进行报告。您的审慎关注和贡献对于保护我们产品的安全以及维护基础设施的完整性至关重要。感谢您致力于提升 Ivanti 的安全工作。感谢您与我们携手推进这一重要事项。

范围

范围内

本漏洞披露政策适用于 Ivanti 拥有、运营或维护的任何数字资产,包括 Ivanti 的产品和服务,以及 Ivanti 的 IT 和 OT 基础设施(包括其系统和网络)。

范围外

以下类型的攻击不属于我们的漏洞披露计划范围:

  • 拒绝服务攻击,包括资源耗尽攻击、导致拒绝服务的漏洞利用,或针对 Ivanti Corporate 或 Ivanti Hosted Solutions 可能导致服务中断的任何形式的“韧性测试”。
  • 对 Ivanti 办公室、数据中心、主机托管设施等进行的物理测试。
  • 针对我们的员工、客户、合作伙伴等实施的社会工程。
  • 未经事先批准进行测试而针对由客户在其自身网络中托管的 Ivanti 产品或解决方案发起的任何攻击或事件。
  • 自动扫描器生成的结果

漏洞奖励

除本漏洞披露计划外,Ivanti 还在 Bugcrowd 上针对部分 Ivanti 产品运营一项专门的漏洞赏金计划。该专属计划仅限受邀参与,为安全研究人员提供访问托管 Ivanti 产品的专用环境的权限。 

Ivanti 的漏洞赏金计划旨在激励并奖励按照其既定范围和计划指南开展的独立安全研究。 

如果您的漏洞报告影响了 Ivanti 漏洞赏金计划范围内的产品,您的报告可能会被转入 Ivanti 漏洞赏金计划,且您可能会获得赏金奖励。作为付费安全评估(例如渗透测试、咨询项目或第三方审计)一部分发现的问题不符合漏洞赏金奖励资格。Ivanti 保留自行决定评估提交内容并确定其是否符合赏金奖励资格的专属权利。

报告渠道

如果您在任何 Ivanti 企业软件产品或服务中发现安全漏洞,我们鼓励您通过以下方式之一以负责任且协调一致的方式向我们报告:

  1. 使用便捷的漏洞报告提交表单,或通过 Bugcrowd 直接提交。

  2. 发送电子邮件至 [email protected]。您的报告应包含以下信息:
    • 漏洞的详细说明。
    • 概念验证 [PoC](如适用)。
    • 复现漏洞的步骤。
    • 受影响产品或服务及其版本的信息。
    • 您的联系信息,包括姓名、电子邮件地址以及任何其他联系方式。

    如果您希望对通信进行加密,请使用我们的 PGP 密钥,点击此处获取(指纹:5A86 C77C A361 B145 8A2C D672 DBF5 C7A9 FE96 C03D)。

  3. 如需咨询一般安全问题,请发送电子邮件至 [email protected]

漏洞报告处理程序

  • 收到您的报告后,我们的 VDP/漏洞赏金合作伙伴 Bugcrowd 将及时回复您,并与您合作了解和验证您的报告。
  • 我们的安全团队将在收到漏洞后的十个工作日内尽力验证该漏洞。
  • 一旦漏洞得到确认,Ivanti 将根据严重程度优先安排解决。我们将定期向报告者更新修复流程的状态。
  • 对于经 Ivanti 内部评估流程计算和验证、CVSS 评分为 4.0 及以上的漏洞,Ivanti 将保留并发布相应的 CVE。
  • 我们承诺本着善意处理并缓解所报告的漏洞。必要时,我们可能会寻求报告者的意见或协助。
  • Ivanti 可能会不时批准并提供更具体的程序,用于处理某些类型的安全漏洞。这些附加程序是本漏洞披露计划的延伸。

行为准则

  • 遵守规则,包括遵循本政策以及任何其他相关协议。如果本政策与任何其他适用条款不一致,则以本政策的条款为准。 
  • 及时报告您发现的任何漏洞。 
  • 避免侵犯他人隐私、干扰我们的系统、破坏数据和/或损害用户体验。 
  • 仅通过“官方渠道”与我们讨论漏洞信息。 
  • 在公开披露问题之前,请给予我们合理的时间(自首次报告起至少 120 天)来解决该问题。 
  • 如果某个漏洞导致对数据的非预期访问:请将您访问的数据量限制在有效展示概念验证所需的最低限度;如果您在测试期间遇到任何用户数据,例如个人身份信息 (PII)、个人健康信息 (PHI)、信用卡数据或专有信息,请立即停止测试并提交报告。 
  • 您只能与自己拥有的测试帐户进行交互,或在获得帐户持有人明确许可的情况下进行交互;并且 
  • 不得从事敲诈勒索行为。 

法律安全港

为鼓励安全漏洞研究和负责任披露,对于本着善意努力遵守本漏洞披露计划并按其要求报告安全漏洞的安全研究人员,Ivanti 不会对其采取法律行动。

请理解,如果您的安全研究涉及第三方(并非我们)的网络、系统、信息、应用程序、产品或服务,我们无法约束该第三方,他们可能会采取法律行动或通知执法机构。我们不能也不会以其他实体的名义授权安全研究,也不能以任何方式为您因自身行为而面临的任何第三方行动提供抗辩、赔偿或其他保护。

一如既往,我们期望您遵守所有适用于您的法律,并且不得干扰或危及超出本漏洞披露计划所允许范围的任何数据。

在从事可能与本政策不一致或本政策未涵盖的行为之前,请联系我们。我们保留唯一权利,决定您是否本着善意努力遵守本漏洞披露计划并按其要求报告安全漏洞;在采取任何行动之前主动联系我们,是我们作出该决定时的重要考量因素。如有疑问,请先咨询我们!

漏洞报告提交表单

请在下方查看我们的漏洞报告提交表单(由 Bugcrowd 提供支持)。要使用该表单,您需要点击“启用 Cookie”以接受第三方 Cookie。您也可以在此处找到此表单。

版本 2.2(2026 年 6 月)。《漏洞披露政策》也可供下载