报告安全漏洞/安全事件

作为全球技术前沿品牌,巴可致力于提供安全的解决方案、产品和服务。
我们持续努力改进我们的安全流程,因此,我们鼓励安全研究人员负责任地报告安全漏洞和安全事件。

如果您发现了漏洞,我们希望了解该漏洞,以便我们能够尽快采取措施修补漏洞。我们想请您帮助我们更好地保护我们的产品和系统。
我们鼓励所有研究人员遵循以下准则(负责任的信息披露)。

请采取以下行动:

  • 将您发现的问题以电子邮件方式发送至 psirt@barco.com (巴可的产品安全事故响应小组);
  • 使用我们的 PGP 密钥加密您的信息(见下文),以防止这些关键信息落入错误的人手中;
  • 请勿利用您发现的漏洞或问题;例如:
    • 请勿下载超出必要的数据来演示漏洞或删除或修改其他人的数据,(例如,如果漏洞提供了对数据的意外访问:请将您访问的数据量限制在有效演示概念验证所需的下限;如果在测试过程中遇到任何用户数据,例如个人身份信息 (PII)、个人医疗保健信息 (PHI)、个人数据、信用卡数据或专有信息,请停止测试并立即提交报告
    • 请勿侵犯他人隐私、破坏我们的系统、破坏数据和/或损害用户体验。
  • 未经巴可产品安全事故响应小组的明确许可,请勿与第三方共享任何漏洞详细信息(操控性披露);
  • 在测试不属于您的物理系统或第三方应用程序之前,请求明确的许可;
  • 请勿使用社会工程、(分布式)拒绝服务或垃圾邮件;
  • 请以英文形式提供足够的信息来重现问题,以便我们能够尽快解决问题;
  • 根据系统的不同,对于简单漏洞,只需提供 URL 或受影响系统的型号名称和固件版本以及漏洞说明,但复杂漏洞可能需要进一步解释;以及
  • 请勿进行敲诈。

我们承诺:

  • 我们将在 3 个工作日内对您的报告做出回复;
  • 我们将在 10 个工作日内提供对报告的评估以及预期的解决日期;
  • 如果您的行动符合上述说明,我们将不会就报告对您采取任何法律行动;
  • 我们将在严格保密的情况下处理您的报告,未经您的允许,我们不会将您的个人信息透露给第三方;
  • 我们将随时向您通报问题解决的进展情况;
  • 我们将评估是否发放一笔奖励金。是否发放奖励金以及奖励金的金额,由巴可自行决定;
  • 目前,我们并没有为安全漏洞报告付费的政策,我们信奉负责任的披露。但是,在特殊情况下,巴可会根据问题进行酌情决定。我们可能会破例并为您提供奖励金。
  • 除非您另有要求,我们可以在公共通信(例如发行说明)中使用您的姓名作为漏洞发现者姓名;
  • 我们会努力尽快解决所有问题。

    版本历史:

    2019 年 3 月 22 日 v1.0 - 基于 https://www.responsibledisclosure.nl/en/ (知识共享授权契约 3.0 Unported 许可证)和 https://disclose.io/ (知识共享授权契约 4.0 国际许可证)
    2019 年 4 月 5 日 v1.1 - 对可能的奖励金的澄清


    -----PGP 公共密钥代码块开始-----
    备注:User-ID:巴可产品安全事故响应小组<psirt@barco.com>
    备注:过期时间:2024 年 3 月 11 日 12:00
    备注:类型:4096 位 RSA
    备注:密钥:AFC7393A37D3ACD187CC113E29AD862E8F3D013C


    mQINBFyGkM8BEADGNjDS4JPLHnn/nCjR4Cjr9BHgPnbnBKfNW7IMW+X3bcXVhtLL
    gb7GoMle0Z9C2nU8jlvornCA6NqQ1pixK+xQ1cIBlSz5G7kdspoX7QTYGW6y1xOh
    GC96vPEKX23YuNnRtEb7z849Q+jnKsVdlCZmdAbHBHJ/wfnb2/nMSeWAbUOpSIuq
    uExJN0gEuWXjvgmKP3NHuJbEw7HnJKpbkrtsttTv5D8L4/N2RtLnczplJ3igoAK8
    9e+LPxzIPkT0F9S+EFaN0IiCfssbJbP5hNqgdrfGgiiaj7wXRUx0gYl2MA6pOjjE
    mA9/lN+U2+EtDzrmOMsei/mahY7IaQ5s67bkSA+/xo+l9a65NTDmJJ4O+suITBO2
    OsE5gNOxqp4vVEsaz+K6X1fjsNpQnTZUxHb48KDzvq0CIKVuR38Fv18Guwga/Spe
    I0jKQdWFDtFWEpZBxbw21TeDrtRm2VQQerUi+o6LyLMtmzDKHGWb7sWVqmx5YcLs
    EOO/fdGsOsqp9nk1N65kgyuuc0BqvqMuhr8Ora6DBxdGJQfxRiHcFXXko4FqStnd
    X9BnWPIkkeZQqR9sZgRlI1CVEuy08PoWUxWlvRGQnK1edH3yk1qliTMjwhC850l8
    VWRp5H+ehkdewUyLh6hMxKWAAdRqMkoj+KIESgntXD7bPmlowualKi6ifwARAQAB
    tD9CYXJjbyBQcm9kdWN0IFNlY3VyaXR5IEluY2lkZW50IFJlc3BvbnNlIFRlYW0g
    PHBzaXJ0QGJhcmNvLmNvbT6JAlQEEwEIAD4WIQSvxzk6N9Os0YfMET4prYYujz0B
    PAUCXIaQzwIbIwUJCWhTYQULCQgHAgYVCgkICwIEFgIDAQIeAQIXgAAKCRAprYYu
    jz0BPNwtEACjXStrLYG/2z8BPwuRUuOAMw8yPb5FkhPbAstpYlJKnTtWoh4ksND5
    xGn7iNqLCkRZCdDIvJEzDoRDa4hYr5hO0QxjDmZeOnb+WgiAEKDsreoftMImERLN
    blDdaiH2K6cqMxli+oUm4m9vXKJ+p0tJar7ZQdQh+pmxVa+4bxGwnmX4MPtyjuNZ
    VOIKwesQljJJZVJ+YkxMu+3w/faXzBDZMxZtD/jZaMP6Y3RzgKy7H3QB6CTB5jxK
    rf3vpv7AdxXlVJ7gEcdiG+N8QN+Yqo5u077/rRfeYoxYKGqEb9KQag39sE0YV2hi
    LXoQubXX+IE/8VjKVr0Hm+++RDDFzaRSSa/fM2MgkzVy260YiRfKJcCP0ssWUu5T
    gQ9Z4En8/YyPy9ioUyAN0UEAPC387/b2WxWDRs5s+P3mf8yknVmbPJWciql5/nah
    mQd4aytpgSp10woH3TdWAuYnxWcAN803SXhoOI7wfZrSngmiC8mhpu/nermYJaKE
    SFIU2lDj/OXdFfeayONKAArlv7BBHzXeclCpTalztVHzNo+ojhIeZCjrX1NmGa1f
    HVMtwosvM+9n5AG8TmJ1m1Fkmeb3XABPT5Plb9rZEmbQ2bCmZcJM7vS5xhM1iVog
    wlqykVrQ6l0MWTryKsb3rjzzithP68ouURHxfZoHmnQ3VVzfS7IhWrkCDQRchpDP
    ARAAtNT9gGdD2HVCgiWUKo3l02VeGLga2veZGiEL0ipRGuYUhRUxTG3Vyqtn15tE
    PChWatnO+meOYG0eQ1reNKVDmIzEwUzJED0DlUcnfVm3Xz6q1KKyWneomgLDycAn
    T78BcT6L6j4jCbnIysmbAq0AMvTHJ2iVW/ztB36blP7i4qXbhsCEWZ8X1LFjAsxI
    pSlbnHXpqXXZFG+fVQ+Plap+w8vy7CkFTQWwUzgvBYj6TB2+5plUD36W4dWeq/FV
    i5EtpT/2Nr4N7JEa4s0JM8vSf6yofyFrzYJuqbeUzZ0Cnk4XHQvjmh8kPWlp7M5k
    a/6YByt93Ck/xIoMz7T3MTNR+E2nZ0vMojhb7//dRuhTfdvq/UwnLzh32mGOFqnD
    h6nepSsom2o4OXX8yS9WtOOlY3auvYmVFZdG6hXrJYyEcqE7c15uGnvwln1JJJCR
    SLJytPZ30+vs6cj8DPIHamFV0zjDtVTzftR3JRd294IN6gKkDEZ1Vr/lfdWKqRkf
    x9iSjE6DrNa2UJHbqxAYuCntBWRuZCTTccvta8PRihi9V7vbrfAlZUl65ypj6HT/
    rLSHCx8HR93lmVStYio3Jaky/zt/BMjYwbDZff2XQDFC2PGS/QyrXnXdi+FOpxmJ
    cUyEaDZAP4VSbIfELCtqOG4VuTK9jTNBHi68ES8McwNZQG8AEQEAAYkCPAQYAQgA
    JhYhBK/HOTo306zRh8wRPimthi6PPQE8BQJchpDPAhsMBQkJaFNhAAoJECmthi6P
    PQE8znoP/RAeDtRo0fZXpef/76AWBmTEzgZbZiS5j9HzCQMesN1otBn3nTrxbHQ2
    bLC91Ao0q3CrDbBo0mT1fY2YRdp3EPEzzczdQeDAk7O7ZoSv9/nXehogvLieMspH
    VsXBkM8Q0uv63jWcOaB64bVq29GH3uAlFCTspTL9y5I+EoGwM8rckusWrg2ohUVl
    PxZAH2D/sb2Ktc8nOIIBv5aQ+p1zmkSI1Mh2dlgpxX+PlJo+uPryBKbtKXko/xVA
    bK5jonolaEdKW+/6TG/37jG+8YUhJkZzX9T7fnHoNPSpJ+5tchatBtE/LUBcVMyB
    JlmhnkxoXbldBjz7QqUG9x27vGcuvNBT0XZYDi2HsFAYpKTAPSit9OeND7hg5CR3
    wg+0VomY1AASo0KCgN5L5hTnytFa9RJ5gCL3JsZTCzc83IcJ34RdMmo94Ol5ANQB
    +hf2FoK0Mm3u8EKJmQnWcR/cOJ7iUU94IAT+paIShhfOyYGr5BM5MSL07thHmsxI
    ov4SbFMO7XMGzl+wa9SvdKG1dwy0k/jzJWMjQb3e9fP9qKohestUV5Bl40FKpG6d
    TcgDu3Tsd7fVsx2nbljNCNAW+t5S/rQZ7Gz6xueblYIHdV/3nxm/eRPpzyWuYUpd
    S9eXFGAsvnkHVBIOAeKihXrx8DQ1+tU9paPQ5U4xF//RYmtbLqKE
    =pGAy
    -----PGP 公共密钥代码块结尾-----