disclose/dioterms

GitHub: disclose/dioterms

该项目是一套开源的、采用 CC0 许可的漏洞披露政策模板,为组织提供标准化、可复用的 VDP 和 Safe Harbor 条款语言。

Stars: 70 | Forks: 8

dioterms — the canonical, CC0 language for vulnerability disclosure # dioterms — disclose.io 框架 ### 漏洞披露的规范化、公共领域语言 —— 以及一种开放、可追溯的修改方式。

CC0 1.0 Powers policymaker Live at disclose.io/framework PRs welcome Contributors Last commit

***[disclose.io 项目](https://disclose.io)** 的一部分 —— 用于漏洞披露的开放、供应商中立的基础设施。[浏览生态系统 →](https://github.com/disclose)*
## 它们如何协同工作 单一来源,多个消费者,零偏差 —— 这种单一事实来源架构正是其核心所在。 ``` flowchart LR D["dioterms
canonical CC0 language"]:::src P["policymaker
generate a policy"]:::tool V["dioseal · diosts
verify adoption"]:::tool DIR["directory
open system of record"]:::data D -->|ingested by| P D -->|verified by| V P -->|new programs| DIR V -->|scans| DIR DIR -.->|informs the language| D classDef src fill:#5B3AB6,stroke:#43289C,color:#fff; classDef tool fill:#efe9fc,stroke:#5B3AB6,color:#2c2148; classDef data fill:#e8f6ef,stroke:#0f7a4f,color:#123f2c; ``` 在此处更改术语,它将通过可追溯的方式(经过审查的 PR)流入每个发布或验证该术语的工具中。 ## 四个规范化术语模板 这四个模板位于 [`terms/`](./terms/) 目录下,并与 [policymaker.disclose.io](https://policymaker.disclose.io) 保持 1:1 的映射。它们是人们进行修改、评论和提交 PR 的对象 —— 也是 policymaker 生成的实时渲染结果的事实来源。 | 模板 | 何时使用 | 路径 | |----------|-------------|------| | **[VDP](./terms/vdp/)** | 没有指定协调披露窗口的漏洞披露策略 | [`terms/vdp/`](./terms/vdp/) | | **[带 CVD 的 VDP](./terms/vdp-with-cvd/)** | 同上,但声明了协调披露窗口(`{{disclosure_window}} days`) | [`terms/vdp-with-cvd/`](./terms/vdp-with-cvd/) | | **[Safe Harbor](./terms/safe-harbor/)** | 独立的完整 Safe Harbor 条款 —— 附加到现有策略中 | [`terms/safe-harbor/`](./terms/safe-harbor/) | | **[简易 Safe Harbor](./terms/simple-safe-harbor/)** | 精简版的 Safe Harbor 条款,便于快速采纳 | [`terms/simple-safe-harbor/`](./terms/simple-safe-harbor/) | 每个模板均提供 `en-US`、`ar` 和 `ne-NP` 版本(参见 [`terms/languages.json`](./terms/languages.json))。欢迎通过 PR 提交翻译 —— 参见 [`terms/README.md`](./terms/README.md)。 ## 其他内容 | 目录 | 用途 | |-----------|---------| | [`terms/bbp/`](./terms/bbp/) | **Bug Bounty Program 策略模板** —— VDP 的超集,包含奖励和范围描述。作为第五个规范文件位于 `terms/` 下(不由 policymaker 承载)。在提供翻译之前仅限英文。 | | [`regional/`](./regional/) | **区域性变体**,由 PSIRT、披露平台、策略倡导者和供应商项目运营者贡献。将 Safe Harbor 条款适应当地法律和监管环境(USA, CAN, BEL, NLD, CHE;AUS, GBR, NZL 在其文件头中标记为草案)。 | | [`maturity/`](./maturity/) | **diostatus** —— 6 级项目成熟度模型。可发现 → 可沟通 → 非敌意 → 明确安全 → 可追溯。 | | [`practices/`](./practices/) | **操作实践** —— 针对善意研究的指导方针。目前包含:[善意安全研究的公认实践](./practices/good-faith-security-research.md)。 | | [`archive/`](./archive/) | 为供参考而保留的已弃用或历史内容。包括旧的模块化片段文件夹 (`core-terms/`)、2020 年美国大选变体以及拆分前的通用术语。 | ## 出处 每个术语文件都带有一个 `` 头部,注明其来源和许可证 —— 默认为 **[CC0 1.0](./LICENSE)**;外部编写的文档保留其各自的署名(参见 [`practices/good-faith-security-research.md`](./practices/good-faith-security-research.md))。更深入的作者信息和更改历史记录在每个文件的 `git log --follow` 中,因此文件总是使用 `git mv` 移动 —— 切勿删除后重新创建 —— 以保持 blame 信息完整。[`archive/`](./archive/) 按原样保留已弃用的术语。规则请参见 [CONTRIBUTING.md](./CONTRIBUTING.md)。 ## 快速链接 | | | |-|-| | 生成个性化策略 | [policymaker.disclose.io](https://policymaker.disclose.io) | | 规范参考网站 | [disclose.io/framework/](https://disclose.io/framework/) | | 社区论坛 | [community.disclose.io](https://community.disclose.io) | | 比较真实世界的项目 | [disclose.io/programs](https://disclose.io/programs) | ## 关于 Safe Harbor **Full Safe Harbor** 的核心要求是策略需提供: - 针对反黑客法的授权(CFAA、CMA 或同等法律) - 豁免反规避法(DMCA 或同等法律) - 在安全测试期间豁免违反组织自身 TOS/AUP 的行为 - 承认善意研究的声明 其意图是要求严格遵循这些条款语言,如有修改也应尽量降至最低。如果您进行修改,请保留上述四项核心原则。 缺少任何核心原则但包含善意的不追究承诺的策略,符合 **Partial Safe Harbor** 的标准。 ## 披露类型 - **Coordinated Disclosure(协调披露)** —— 在应用修复并且项目所有者授予许可后,或者在提交后经过明确声明的时间后(以先到者为准),研究人员可以共享详细信息。 - **Discretionary Disclosure(酌情披露)** —— 研究人员或项目所有者可以在获得明确批准后,请求相互许可以共享详细信息。 - **Non-Disclosure(不披露)** —— 研究人员需要保密详细信息及项目的存在。通常不适用于 VDP。 ## 附加策略部分(模板化) - **范围**(必需)—— 明确的“范围内”资产。宁可包容性更强。 - **范围外**(可选)—— 组织不建议进行测试的系统或活动。 - **奖励**(可选,仅限 BBP)—— 付款策略和参数。 - **官方沟通渠道**(必需)—— 完整的接收方式列表。 - **披露策略**(必需)—— 研究人员可以向第三方披露的条件。 ## 一旦您发布了策略 - 将 [disclose.io 印章](https://github.com/disclose/dioseal) 添加到您的公开项目简报中 - 在 [directory.disclose.io](https://directory.disclose.io) 添加您的项目 —— 实时记录系统 - 让世界知道您已加入该倡议 - 为您刚刚采纳的框架做出贡献
标签:DNS解析, IPv6支持, 安全合规, 安全政策, 开源项目, 文档模板, 漏洞披露, 网络代理, 网络安全研究, 防御加固