漏洞揭露政策

簡介

JLL 竭誠與客戶合作，為企業房地產共創更明亮的未來。其中包括：確保企業系統安全，以及保護客戶和合作夥伴委託的資料。此政策旨在提供安全研究者明確指引，協助其發現漏洞，並瞭解發現漏洞後，我們偏好的資訊提交方式。

請注意：JLL 無偵錯獎金計畫。提交漏洞即表示您承諾未抱有收受獎金的期待，且明確放棄未來可藉此提交資訊向 JLL 索取費用。

此政策解釋其所涵蓋的系統和研究類型、如何向我們傳送漏洞報告，以及在公開揭露漏洞前，安全研究者需等待的時間。

歡迎聯繫我們，回報系統中的潛在漏洞。

授權

若您願於安全研究期間，善意努力遵從此政策，我們會將您的研究視為已授權。在您的協助下，我們會盡快瞭解並解決問題，JLL 不會建議或尋求與您研究有關的法律行動。若第三方就您依循此政策實行的相關活動採取法律行動，我們將公開此授權。

指南

根據此政策，「研究」代表您採取的以下活動：

• 發現實際或潛在安全問題時，立刻通知我們。
• 盡量避免違反隱私權、降低使用者體驗、破壞生產系統和破壞或操控資料。
• 僅在必要時利用系統弱點確認是否存在漏洞。請勿使用系統弱點獲取或外洩資料、執行持續命令列存取，或利用弱點轉移至其他系統。
• 公開揭露前，請給予我們合理的時間處理問題。
• 請勿提交大量低品質報告。

當您查證漏洞確實存在或遇到任何敏感資料時 (包括個人身份資訊、財務資訊，或任一方之專利資訊或商業機密)，請務必停止測試，立即通知我們，不要向任何人揭露資料。

測試方法

以下測試方法未獲授權：

• 網絡拒絕服務 (DoS 或 DDoS) 測試或其他影響存取、損壞系統或資料的測試。
• 實體測試 (如：辦公室入口、敞開的門、是否有人尾隨)、社交工程 (如：網路釣魚、語音釣魚) 或任何其他非技術漏洞測試。

範圍

本政策僅適用於完全由 JLL 擁有和管理的系統與服務。

任何沒有明確列於上方的服務，如：任何連結服務，皆屬範圍之外，且並未授權測試。此外，於供應商系統中發現的漏洞不屬於本政策範圍，若其有揭露政策，應根據該政策直接向供應商報告。如果您不確定系統是否在範圍內，請寄信至 vulndisclosure@jll.com 聯絡我們。

我們可能會協助開發和維護其他可透過網路存取的系統或服務，但請僅針對本政策範圍內的系統和服務，進行積極研究和測試。若有任何您認為應測試的特定系統不在範圍內，請於進行任何測試前聯絡我們討論。我們會隨時間推移評估此政策範圍。

根據本政策提交的資訊將僅用於防禦目的，如：減緩或修復漏洞。若您發現新的漏洞不單會影響 JLL，甚至會影響所有產品或服務的用戶，我們可能會將您的報告與美國網路安全暨基礎設施安全局分享，該機構將根據其協調漏洞揭露流程處理。我們不會在未經允許下，分享您的姓名或聯絡資訊。

請傳送漏洞報告至 vulndisclosure@jll.com。報告將以匿名方式提交。若您留下聯絡資訊，我們將在 3 個工作天內確認收到報告。

我們不支援 PGP 加密電子郵件。

我們希望收到的報告

為協助我們將提交內容分類和排序，我們建議您在報告中使用以下方法：

• 描述發現漏洞的位置和弱點的潛在影響。
• 提供需要複寫漏洞的詳細步驟解說（驗證概念的指令碼或截圖皆為有幫助的證明）。
• 若可以，請使用英文。

我們提供的服務

若您選擇與我們分享聯絡資訊，我們承諾會以最快速、最公開的方式與您協調。

• 我們將於 3 個工作日內，確認收到您的報告。
• 我們將竭盡所能向您確認漏洞是否存在，並將修補過程步驟盡量透明化，包括可能導致解決進度延宕的問題或挑戰。
• 我們將保持開放式對話來討論問題。

問題

此政策相關問題會寄送至 vulndisclosure@jll.com。我們也誠摯歡迎您聯繫我們，提供政策相關改進意見。