安全策略
报告漏洞
BAUER GROUP 高度重视我们产品的安全性。如果您认为发现了安全漏洞,请按以下方式向我们报告。
首选方式:GitHub 安全公告
对于每个受影响的代码仓库,请使用 Security → Advisories → New Draft Advisory 来保密地报告漏洞。
电子邮件
电子邮件: disclosure@cra.docs.bauer-group.com
请包含以下信息:
- 漏洞描述
- 复现步骤
- 受影响的产品和版本
- 影响评估(如可能)
- 您的联系方式
预期流程
| 里程碑 | 时间 |
|---|---|
| 确认收到 | 48小时内 |
| 初步评估 | 7天内 |
| 状态更新 | 至少每 14天 |
| 协调披露 | 报告后 90天(默认) |
我们的承诺
- 我们不会对善意行事的研究人员采取法律行动
- 我们将感谢您的贡献(经您许可)
- 我们将与您协调披露时间表
- 我们将定期提供状态更新
支持的版本
有关支持的版本和支持期,请参阅各产品的文档。
范围
本策略适用于所有 BAUER GROUP 含数字元素的产品,包括:
- 软件产品(Web 应用、API、库)
- 容器镜像
- 固件(ESP32、STM32、Zephyr)
- 已发布的包(NuGet、NPM)
不在范围内
- 社会工程攻击
- 拒绝服务攻击
- 针对基础设施的物理攻击
- 第三方产品中的漏洞(请向相应的供应商报告)
法规框架
本安全策略符合:
- 网络弹性法案 (EU) 2024/2847 – Art. 13 (6) & (8)
- ISO/IEC 29147:2018 – 漏洞披露 (Vulnerability Disclosure)
- ISO/IEC 30111:2019 – 漏洞处理流程 (Vulnerability Handling Processes)