Ricerca e report di potenziali vulnerabilità di sicurezza nei servizi Fastly
Fastly ha a cuore la sicurezza della propria rete e dei propri clienti e supporta attivamente la più ampia comunità di sicurezza. Fastly si impegna nella ricerca sulla sicurezza indipendente e nella divulgazione responsabile.
Le seguenti linee guida si applicano alla ricerca e alla segnalazione di potenziali vulnerabilità di sicurezza nella nostra rete.
Le valutazioni di sicurezza devono:
Essere eseguite solo sui seguenti domini *.fastly.com: https://www.fastly.com, https://manage.fastly.com, https://docs.fastly.com
Non essere eseguite su altri domini Fastly, incluso *.fastly.net
Non essere eseguite su alcun dominio non Fastly
Non compromettere la disponibilità dei servizi di Fastly
Non compromettere la sicurezza o la privacy dei clienti di Fastly o dei dati presenti nella rete di Fastly
Utilizzare test non distruttivi e non invasivi
Non coinvolgere attività di social engineering né la valutazione dei controlli di sicurezza fisici
I risultati delle valutazioni di sicurezza devono essere riportati effettuando una segnalazione tramite il seguente modulo. La documentazione deve contenere il maggior numero di dettagli possibile, tra cui:
Informazioni di contatto valide per il reporter
Una descrizione della posizione e della natura della vulnerabilità
Passaggi dettagliati per riprodurre la vulnerabilità
Una breve descrizione del potenziale impatto sulla sicurezza della vulnerabilità
Inoltre:
Gli screenshot o i video sono sempre utili
I messaggi possono essere facoltativamente crittografati con la nostra chiave pubblica PGP
Segnalare problemi di sicurezza tramite il modulo HackerOne integrato è il modo più veloce per permetterci di esaminare e valutare i problemi. Se non puoi effettuare la segnalazione con questo modulo, invia il tuo report via email a security@fastly.com con oggetto [Vulnerability Report] e un titolo significativo del rapporto.
Risposta di Fastly alle segnalazioni di valutazione della sicurezza
Fastly:
Cercherà di prendere atto dei rapporti iniziali di valutazione della sicurezza entro due giorni lavorativi.
Darà priorità alla riproduzione e poi alla conferma di ogni vulnerabilità segnalata.
Per qualsiasi vulnerabilità confermata, fisserà tempestivamente una tempistica ragionevole per l'applicazione della patch e la divulgazione pubblica.
Invia una maglietta di Fastly al primo segnalatore di una vulnerabilità confermata e risolta come ringraziamento per il loro duro lavoro (solo una maglietta per segnalatore, ma accogliamo con favore le segnalazioni continue)
Non intraprendere azioni legali contro i segnalatori che rispettano tutte le linee guida per l'esecuzione e la segnalazione delle valutazioni di sicurezza, e che collaborano pienamente con le ragionevoli richieste di assistenza di Fastly nella riproduzione di una vulnerabilità
Tieni presente che i test di sicurezza o le attività di ricerca che interferiscono con o compromettono l'integrità o le prestazioni dei servizi violano la nostra politica d'uso accettabile. Devi rispondere immediatamente a qualsiasi comunicazione di Fastly riguardante il tuo lavoro per garantire che le tue attività non influiscano negativamente sugli altri clienti o sulla rete Fastly.