Codalค้นหาในหนังสือเล่มนี้ หรือค้นหาทั่วทั้ง Codal…⌘K
โปรเจค
ลงชื่อเข้าใช้เริ่มเขียนหนังสือ

ความปลอดภัย

ปรับปรุงล่าสุด: [Month Day, Year]

ความปลอดภัยมีความสำคัญต่อ Codal เพราะผู้ใช้และองค์กรไว้วางใจให้เราดูแลต้นฉบับ ฉบับร่าง เมตาดาตา ไฟล์ต้นฉบับ ผู้ร่วมสนับสนุน และบันทึกการเผยแพร่

หน้านี้อธิบายวิธีการรายงานปัญหาด้านความปลอดภัยและแนวทางของเราต่อความปลอดภัย

1. การรายงานช่องโหว่

หากคุณเชื่อว่าคุณพบช่องโหว่ด้านความปลอดภัยใน Codal โปรดติดต่อ:

[[email protected]]

โปรดระบุ:

  • คำอธิบายของปัญหา
  • ขั้นตอนในการสร้างปัญหาซ้ำ
  • URL หรือ endpoint ที่ได้รับผลกระทบ
  • ภาพหน้าจอหรือ proof of concept หากปลอดภัยที่จะแบ่งปัน
  • ข้อมูลติดต่อของคุณ
  • คุณเชื่อว่ามีการเข้าถึงหรือแก้ไขข้อมูลหรือไม่

โปรดอย่าเปิดเผยปัญหาต่อสาธารณะจนกว่าเราจะมีโอกาสตรวจสอบและแก้ไขอย่างสมเหตุสมผล

2. สิ่งที่ไม่ควรทำ

เมื่อทดสอบหรือรายงานปัญหาด้านความปลอดภัย อย่า:

  • เข้าถึง ดาวน์โหลด แก้ไข หรือลบข้อมูลที่ไม่ใช่ของคุณ
  • รบกวนบริการ
  • ทำการทดสอบ denial-of-service
  • ใช้การสแกนปริมาณสูงแบบอัตโนมัติ
  • พยายามใช้ social engineering
  • เข้าถึงบัญชีของผู้ใช้รายอื่น
  • เผยแพร่ข้อมูลส่วนตัว
  • อัปโหลดมัลแวร์
  • ใช้ประโยชน์จากปัญหาเกินกว่าที่จำเป็นเพื่อแสดงให้เห็นอย่างปลอดภัย

3. แนวปฏิบัติด้านความปลอดภัยของเรา

Codal ใช้แนวปฏิบัติด้านความปลอดภัยที่มุ่งหมายเพื่อปกป้องบัญชี โครงการ รุ่น แพ็กเกจ และไฟล์

ซึ่งอาจรวมถึง:

  • การควบคุมการรับรองความถูกต้องและเซสชัน
  • สิทธิ์ของโครงการและองค์กร
  • การควบคุมการเข้าถึงแบบส่วนตัว/สาธารณะ
  • URL ที่ลงนามแล้วหรือการดาวน์โหลดที่ควบคุม
  • บันทึกการตรวจสอบสำหรับการดำเนินการที่สำคัญ
  • เครื่องมือลงนามและตรวจสอบสิ่งที่สร้างขึ้น
  • การกำหนดค่าการจัดเก็บที่ปลอดภัย
  • การจำกัดการเข้าถึงด้านการดูแลระบบ
  • การตรวจสอบและการบันทึกข้อผิดพลาด
  • การสำรองข้อมูลและมาตรการป้องกันด้านการปฏิบัติงาน
  • การอัปเดต dependency และการตรวจสอบความปลอดภัย

ไม่มีระบบใดที่ปลอดภัยอย่างสมบูรณ์ เราทำงานอย่างต่อเนื่องเพื่อปรับปรุงความปลอดภัยของ Codal

4. ความปลอดภัยของบัญชี

ผู้ใช้รับผิดชอบในการรักษาข้อมูลรับรองบัญชีให้ปลอดภัย

เราขอแนะนำให้:

  • ใช้รหัสผ่านที่แข็งแกร่ง
  • ไม่แชร์บัญชี
  • จำกัดสิทธิ์ขององค์กร/โครงการ
  • ลบผู้ใช้ที่ไม่จำเป็นต้องเข้าถึงอีกต่อไป
  • ตรวจสอบการตั้งค่าโครงการแบบสาธารณะ/ส่วนตัวก่อนการเผยแพร่
  • ส่งออกข้อมูลสำรองของโครงการที่สำคัญ

หากคุณเชื่อว่าบัญชีของคุณถูกบุกรุก โปรดติดต่อ:

[[email protected]]

5. การเปิดเผยอย่างมีความรับผิดชอบ

เราขอขอบคุณการวิจัยด้านความปลอดภัยโดยสุจริต

หากคุณรายงานปัญหาที่ถูกต้องอย่างมีความรับผิดชอบ เราจะพยายาม:

  • รับทราบการรับเรื่อง
  • ตรวจสอบโดยเร็ว
  • แจ้งให้คุณทราบเป็นระยะเมื่อเป็นไปได้
  • แก้ไขปัญหาที่ได้รับการยืนยัน
  • ให้เครดิตคุณหากคุณต้องการและหากเหมาะสม

ปัจจุบัน Codal ไม่ได้ดำเนินโครงการ bug bounty แบบจ่ายเงิน เว้นแต่จะมีการประกาศแยกต่างหาก

6. ข้อมูลที่ละเอียดอ่อน

อย่าส่งข้อมูลส่วนบุคคลที่ละเอียดอ่อน ความลับ รหัสผ่าน กุญแจส่วนตัว หรือวัสดุที่เป็นความลับในรายงานช่องโหว่ เว้นแต่จำเป็น หากจำเป็น โปรดแจ้งให้เราทราบก่อนเพื่อให้เราสามารถจัดเตรียมวิธีที่ปลอดภัยกว่าได้

7. ผู้ติดต่อด้านความปลอดภัย

รายงานด้านความปลอดภัย:

[[email protected]]

การสนับสนุนทั่วไป:

[[email protected]]