开场声明
E-LINTER 深知用户数据安全与平台完整的关键性,始终将保护用户和系统数据作为首要责任。我们采用符合法律规定的物理、管理和技术手段,以维护数据的机密性、完整性和安全性。我们欢迎并感谢安全研究人员通过本政策规定的渠道向我们报告潜在的漏洞、安全问题。
我们鼓励并授权符合本政策要求的合法安全研究行为。只要您的测试活动严格遵守本政策要求的全部条款,E-LINTER承诺不对您采取法律诉讼或其他法律行动。您的反馈对我们改进产品安全非常重要,我们也将感谢并尊重每位报告者对系统安全做出的贡献。
披露范围
本政策适用于 E-LINTER 自主研发并运营的所有产品和服务,包括光伏监控 Web 平台PV-CSP与其后台服务、移动应用PV Pro(Android/iOS 端)、自研采集器及其固件、云端接口等核心系统,以及为上述产品提供支撑的网络和基础设施。您可以在前述系统中发现并报告安全漏洞或弱点,但测试行为及报告内容不包含以下情形:
- 破坏性行为:干扰系统正常运行的破坏性行为(如网络拒绝服务攻击、暴力破解等);
- 数据篡改:未经授权修改、删除或获取系统数据的行为;
- 非技术手段:依赖社会工程(如钓鱼、欺骗)或未经授权物理访问等非技术手段的测试;
- 第三方组建:非由 E-LINTER 直接管理维护的第三方提供的产品、服务或组件的安全问题;
- 已公开漏洞:已在公共领域公开披露的漏洞或信息;
- 低危/无实质影响问题:对系统安全、数据机密性无实质影响或不构成实际威胁的低危问题;
- 超出授权范围:未获授权的测试范围之外的任何活动。
- 用户隐私侵犯: 访问、下载、修改、删除非您本人所有的用户数据,或进行超出验证漏洞绝对必要范围的操作。禁止任何形式的用户数据泄露。
响应流程
1. 确认接收:我们将在报告提交后 7个工作日内,通过邮件向报告人确认已收到该报告。
2. 评估与沟通: 安全团队会对漏洞进行技术评估,确定漏洞的真实性和严重性。如有需要,我们会通过报告人提供的联系方式进一步沟通澄清信息或征求补充细节。
3. 修复安排: 根据漏洞的严重程度,我们会确定修复优先级并尽快安排解决。预估修复时间为(自确认为有效漏洞之日起算):
- 高危漏洞(影响严重):15 个工作日内完成修复;
- 中危漏洞(影响中等):30 个工作日内完成修复;
- 低危漏洞(影响较低):45 个工作日内完成修复。
上述时间为预估修复时间,实际修复时间可能因漏洞复杂性、测试周期等因素而有所调整。如果预计无法在上述时间内修复,我们也会及时向报告人更新进展。
合规性与行为边界
本政策鼓励合法、负责、符合社会道德的漏洞披露行为。我们期望安全研究人员在测试过程中遵守法律法规,尊重用户隐私,并避免对系统造成破坏。请勿使用任何可能损害平台正常运行或泄露用户隐私的手段。E-LINTER 强调符合行业最佳实践:研究人员应在授权范围内进行测试,不进行违规操作或超量扫描。E-LINTER 遵循国内外相关法规要求。
在此基础上,E-LINTER 保留根据报告内容、测试行为的合规性及实际情况,决定是否响应报告、采取何种处理方式的权利。任何违反本政策或适用法律的行为将不被视为授权行为,E-LINTER 保留追究相关法律责任的权利。
法律豁免
我们支持您匿名报告漏洞。在不违反相关法律法规且遵守本政策范围的前提下,E-LINTER 将视您的测试行为为获得授权的安全研究,并承诺不对您提起与本次授权测试活动直接相关的民事法律诉讼或执法投诉。如果您在符合本政策要求的情况下遭受第三方指控,E-LINTER 也将在法律允许范围内为您提供合理的支持信息(如确认您的测试行为是在本政策授权下进行的)。我们的目标是为负责任的安全研究提供保护环境,鼓励大家通过合法途径帮助我们发现并修复安全问题。
联系方式
若您对漏洞报告或本政策有任何疑问,请联系E-LINTER安全团队。我们的官方安全邮箱为support@e-linter.com,请通过该邮箱提交您的安全报告或问题,我们将安排专业人员跟进处理
安全更新政策
本产品的安全更新支持期至2028年12月31日。支持期后报告的相关漏洞,E-LINTER将酌情评估处理,不保证修复。