安全
负责任披露
最后更新: 2026年4月19日 · 即时生效
语言说明: 本页为英文版本的中文翻译,仅供参考。如中英文版本存在差异,以英文版本为准。
1. 范围
depscope.dev 及其子域下的所有端点,包括 API、仪表板、MCP 服务器和 我们发布的 npm 包 depscope-mcp。 范围外:第三方服务(Stripe、Cloudflare、npm 注册中心等)和 DoS/负载测试。
2. 如何报告
- 发送邮件至 [email protected]。
- 提供清晰描述、概念验证、受影响 URL 和您首选的致谢方式。
- 如愿意,使用 PGP — 密钥发布于 /.well-known/security.txt。
3. 我们的承诺
- 在 3 个工作日 内确认您的报告。
- 通知您分诊进度和预计修复时间。
- 修复部署后(经同意)公开致谢您。
- 不对在下列范围内进行的善意研究追究法律责任。
4. 参与规则
- 不访问或修改不属于您的数据。
- 不运行自动扫描、DoS 或社会工程攻击。
- 最小化概念验证的足迹。
- 在发布修复之前不公开披露细节。
- 遵守所有适用法律。
5. 奖励
我们目前不运行付费漏洞赏金计划。我们提供公开致谢、周边产品(如有)以及 对具有影响力的报告优先访问即将推出的付费层。