安全与漏洞披露

在范围内

以下 ELLYTIC 资产属于安全报告的范围：

• ellytic.com 及所有子域名 (*.ellytic.com)
• app.ellytic.com (Ops Workbench)
• ellytic.com/api/* 和 app.ellytic.com/api/* 下的 API 端点
• 身份验证流程，包括 OAuth (开放授权)、magic-link 和 TOTP MFA
• 客户仪表盘和订单流程
• Wizard 结账、支付和文档上传流程

范围外

以下内容明确不在范围内，相关报告将不符合致谢条件：

• 拒绝服务 (DoS / DDoS) 攻击和流量型测试
• 针对员工、承包商或客户的社会工程、网络钓鱼或物理攻击
• 来自自动扫描器、无可用 proof-of-concept 的发现（例如缺少安全标头但无可利用的影响）
• 无具体漏洞的最佳实践或加固建议（例如 CSP 调整、TLS 密码套件偏好）
• 针对我们未运营的第三方服务（Stripe、IDnow、YouSign、Sanity、Vercel、Neon、Resend）的报告——请直接向供应商报告
• 需要物理访问受害者已解锁设备的问题
• Self-XSS 或需要受害者更改配置才能被利用的漏洞
• 在我们环境中未演示可利用路径的过时软件披露（依赖项中的 CVE）

如何报告

请将详细报告发送至 security@ellytic.com。请提供足够的信息，以便我们快速复现并分流问题。如有需要，可使用 PGP 加密。

在我们确认修复之前，请勿公开披露该问题。修复部署后，我们承诺（在您同意的情况下）进行公开致谢。

• 受影响的 URL、端点或组件
• 逐步复现步骤（命令、payload、预期与实际结果对比）
• 影响评估——哪些数据或功能存在风险？
• 您的联系方式以及希望如何被致谢（真实姓名、昵称或匿名）
• 任何支持性的截图、视频或 HTTP 请求日志（请遮蔽任何第三方数据）

安全港 (Safe Harbor)

对于遵守本政策的善意研究，我们不会提起民事诉讼或涉及执法机构。「善意」是指：

• 您真诚努力避免侵犯隐私、销毁数据和中断服务
• 在确认漏洞存在后立即停止测试，并进行报告
• 您不访问、修改或下载超出演示问题所需最低限度的数据
• 您仅针对自己的测试账户——绝不针对其他客户的数据
• 您不为牟利而利用该问题，也不在披露前与第三方分享
• 您给予我们合理的窗口期（见下方响应时间）以便在任何公开披露之前进行修复

我们的响应时间

我们的目标是在以下时间内响应安全报告。关键问题优先于已计划的工作。

• 首次确认：2 个工作日内
• 分流和严重性评估：5 个工作日内
• 修复进行中的状态更新：至少每 14 天一次
• 解决目标（关键 / 高严重性）：自确认起 30 天
• 解决目标（中等 / 低严重性）：自确认起 90 天
• 公开披露：与报告者协调，通常在修复部署后

奖励

ELLYTIC 目前不运行付费 bug-bounty 计划。我们将在本页和我们的名人堂中（在您同意的情况下）公开致谢有效的报告。随着业务发展，我们计划为高影响发现引入金钱奖励——合格报告的报告者将被优先邀请。

致谢

我们感谢所有以负责任的方式向我们报告问题的研究人员。报告者在其同意的情况下列在此处。（迄今没有公开报告——成为第一人。）

联系方式

所有安全相关的通信应发送至 security@ellytic.com。

• 电子邮件：security@ellytic.com
• 机器可读：/.well-known/security.txt (RFC 9116)
• 首选语言：英语、德语
• 邮政：ELLYTIC Technologies UG (haftungsbeschränkt)，完整地址见 Imprint