最后更新日期:2025年7月22日
我们高度重视用户安全与隐私保护,鼓励安全研究人员、开发者及用户遵循本政策负责任地报告漏洞。本政策符合苹果App
Store审核准则(包括但不限于Guideline 5.2.1),并明确了漏洞提交、处理及沟通的规范流程。
提交方式
电子邮件:jcpfyy110@163.com
报告内容要求
为快速验证漏洞,请提供以下信息:
受影响版本:应用/浏览器引擎版本号(如iOS App v2.1.0或提交哈希)。
技术细节:漏洞描述、预期行为与实际行为的差异。
复现步骤:详细操作流程(附截图、视频或日志)。
PoC(可选):漏洞利用代码或测试用例。
联系方式(可选):便于后续沟通(如Signal/Telegram)。
确认接收:3个工作日内通过邮件确认。
评估周期:10个工作日内反馈漏洞等级(按CVSS 3.1标准)。
修复时效:
严重漏洞(CVSS≥9.0):优先修复,确保30天内发布更新。
其他漏洞:根据优先级在后续版本中解决。
进度更新:每7天主动通知处理状态,或重大进展时同步。
保密要求:在漏洞修复前,禁止公开披露(遵循苹果协调披露政策)。
我们通过漏洞赏金计划奖励高质量报告,标准如下:
| 漏洞等级 | 奖金范围(USD) | 示例 |
| 严重(9.0+) | $500 - $2000 | RCE、数据泄露 |
| 高危(7.0-8.9) | $200 - $500 | 越权访问、隐私泄露 |
| 中危(4.0-6.9) | $50 - $100 | CSRF、逻辑缺陷 |
注:奖励发放需满足苹果开发者协议条款,且不适用于内部员工或测试人员。
授权测试:遵循本政策的研究视为合法授权,我们不会追究法律责任。
禁止行为:
破坏性测试(如DDoS、物理设备破坏)。
未经授权访问用户数据或修改系统配置。
违反苹果《开发者计划许可协议》的行为(如绕过沙盒限制)。
免责范围:因测试导致的间接损失(如业务中断)不承担责任。
经报告者同意后,将在官网或更新日志中公开致谢。
默认情况下,漏洞细节将在修复发布后90天公开。