拓竹漏洞赏金计划

拓竹漏洞赏金计划为网络安全爱好者、道德黑客和安全研究人员提供了一个与我们合作以进一步保护我们数字基础设施的机会。我们充分理解领先于潜在安全威胁并修补任何漏洞的重要性。

为什么要有漏洞报告计划？

在当今相互关联的世界中，网络安全在开发复杂机器和服务时是重中之重。尽管我们已尽最大努力，但没有任何系统能完全免受漏洞的影响。通过拓竹漏洞赏金计划，我们旨在获得帮助以确保我们系统的安全性和完整性。这种积极主动的方法不仅加强了我们的安全系统，而且进一步提高了我们客户的安全性和可靠性。

它是如何运作的：

参与拓竹漏洞赏金计划很简单：

1. 发现：安全研究人员可以在定义的参数内开始测试和探索，根据范围和资格并遵循参与规则寻找潜在的漏洞。
2. 报告：发现安全问题后，参与者可以通过向 security@bambulab.com 发送电子邮件详细报告他们的发现。
3. 验证：我们的专家团队将迅速审查每个提交的内容以验证其合法性和严重性，并将在收到消息后不到 1 周内提供回复。
4. 奖励：有效报告将根据漏洞的严重性和对我们指南的遵守情况给予奖励。奖励包括金钱补偿、认可和我们对您为我们的安全工作做出贡献的衷心感谢。确认漏洞的奖励预计将在 1 到 3 个月内支付。
5. 解决：一旦验证，我们的团队将努力在最短的时间内解决和修复报告的漏洞。

漏洞报告流程

范围和资格：

拓竹漏洞赏金计划涵盖以下项目：

• 网络应用程序：*.bambulab.com，*.bambulab.cn，makerworld.com，makerworld.com.cn
• 移动应用程序：Bambu Handy（iOS 和 Android）
• PC应用程序：Bambu Studio，Bambu Connect
• 固件：X1 系列、P1 系列、A1 系列
• 身份验证机制

响应处理时间

• 致命漏洞将在 48 小时内跟进处理，并给出初步结论和评级。
• 高风险漏洞将在 3 个工作日内跟进处理，并给出初步结论和评分。
• 其余漏洞将在 7 个工作日内跟进评分。如果报告者认为是紧急情况，可以向 security@bambulab.com 发送电子邮件，审核员确认后将处理该电子邮件。
• 漏洞修复时间一般不超过 90 天，修复漏洞的难度可能会有所不同。

漏洞类型和奖励等级

关键漏洞对我们系统的完整性和用户数据构成最严重的威胁。它们有可能造成灾难性的破坏并危及我们基础设施的大部分。例如：

• 在可行的可信执行环境（TEE）中执行任意代码：   
  此漏洞允许攻击者在可信执行环境（TEE）内执行任意代码，绕过安全措施并获得对敏感数据和功能的未经授权的访问。
• 远程执行任意代码，导致设备控制：   
  攻击者可以在设备上远程执行任意代码，从而完全控制我们网络中的大量设备。这可能导致数据泄露、隐私侵犯和服务的广泛中断。
• 远程永久拒绝服务（设备变砖或需要完全重新烧录固件才能恢复）：   
  此类漏洞可能导致设备永久无法运行或需要广泛的固件重新安装才能恢复功能。此类事件可能导致重大的财务损失和声誉损害。
• 绕过安全启动机制：   
  此漏洞使攻击者能够绕过安全启动机制，损害设备的完整性并允许在启动过程中执行未经授权的代码，构成严重的安全风险。

高严重性漏洞对我们系统的安全构成重大风险，并可能导致未经授权的访问、数据泄露或服务中断。例如：

• 未经授权的 TEE 访问：   
  此漏洞允许攻击者获得对可信执行环境（TEE）的未经授权的访问，可能危及敏感数据和关键系统功能。
• 远程任意代码执行，导致设备控制：   
  攻击者可以在单个设备上远程执行任意代码，获得对它们的控制并可能将它们用于恶意目的。
• 远程临时拒绝服务（设备停机或重启）：   
  此类漏洞可能导致临时拒绝服务，导致设备停机或需要系统重启才能恢复正常操作。
• 远程访问用户敏感数据和受保护的模型文件：   
  此漏洞允许未经授权访问用户敏感数据和受保护的模型文件，危及用户隐私和机密性。

中严重性漏洞代表可能在一定程度上危及用户数据或系统功能的潜在安全风险。例如：

• 本地任意代码执行（无需硬件更改）：   
  攻击者可以在本地设备上执行任意代码而无需硬件修改，可能访问敏感数据或影响系统操作。
• 本地访问用户敏感数据和受保护的模型文件：   
  此漏洞允许本地访问用户敏感数据和受保护的模型文件，对用户隐私和数据安全构成中等风险。

低严重性漏洞通常影响有限，对我们系统的安全和用户数据构成最小风险。例如：

• 本地任意代码执行（使用硬件修改）：   
  此漏洞需要硬件修改才能进行本地任意代码执行，限制了其实际利用和对我们系统安全的影响。

通过将漏洞分类到这些层级中，我们旨在优先考虑我们的响应工作并有效分配资源以首先解决最关键的威胁，确保我们系统和用户数据的安全性和完整性。金钱奖励将反映发现和报告的漏洞类型。

参与规则

为了确保富有成效和和谐的合作，我们为参与者制定了参与规则，包括：

• 尊重用户隐私和数据机密性
• 禁止任何可能破坏或危及我们服务的行为
• 遵守所有适用的法律和法规

禁止的行为

参与者严禁从事以下活动：

• 利用漏洞损害用户利益，包括但不限于窃取用户资料、隐私和虚拟财产。
• 在漏洞测试过程中从拓竹下载任何代码和数据。
• 利用漏洞攻击拓竹的系统，导致系统停机或故障。
• 恐吓、勒索或恶意夸大漏洞的影响以引起公众恐慌。
• 不负责任地披露漏洞，包括在漏洞修复之前恶意传播或交易漏洞。
• 从事有害或不可控的安全测试实践。
• 违反国际一般法律或当地法规的测试。
• 在漏洞测试过程中未能妥善保护数据，导致拓竹遭受损失。

报告漏洞

准备好有所作为了吗？如果您希望报告在我们的服务中发现的漏洞，请发送电子邮件至 security@bambulab.com

免责声明：

拓竹保留随时修改漏洞赏金计划条款和条件的权利，恕不另行通知。参与该计划意味着接受所有适用的规则和指南。奖励可能会根据报告的漏洞的严重性和影响而变化。