漏洞披露政策

簡介

仲量聯行 (JLL) 致力於與我們的客戶合作，以保證企業房地產領域有更光明的前景。這包括確保我們企業系統的安全以及保護我們的客戶和合作夥伴委託給我們的資料。本政策旨在為安全研究人員提供對開展漏洞發現活動的明確準則，並傳達我們對如何向我們提交已發現漏洞的喜好設定。

請注意，JLL 不實行錯誤懸賞計劃。提交漏洞，即表示您承認您並不期望得到報酬，並且您明確地放棄了任何今後向 JLL 索要與您提交的內容有關的報酬的權利。

本政策說明了本政策所涵蓋的系統和研究類型、如何向我們發送漏洞報告，以及我們要求安全研究人員在公開披露漏洞之前需等待的時長。

我們鼓勵您與我們聯絡，報告我們系統中的潛在漏洞。

授權

如果您在安全研究期間真誠地付出努力遵守本政策，我們將認為您的研究已獲授權，我們將與您合作以瞭解並迅速解決該問題，並且 JLL 不會建議或採取與您的研究有關的法律行動。如果第三方對您依照本政策開展的活動開始採取法律行動，我們將公佈此授權。

準則

根據本政策，「研究」是指您的以下活動：

• 在您發現真實或潛在的安全問題後，盡快通知我們。
• 盡一切努力避免侵犯隱私、降低使用者體驗、破壞生產系統以及銷毀或操縱資料。
• 僅在必要的範圍內使用漏洞利用程式，以確認存在漏洞。不要使用漏洞利用程式來破壞或滲漏資料，建立持久的命令列存取，或使用漏洞利用程式來轉向其他系統。
• 在您公開披露漏洞之前，為我們提供合理的時間來解決該問題。
• 不要提交大量的低質量報告。

一旦您確定存在漏洞或遇到任何敏感資料（包括個人可識別資訊、財務資訊或者任何一方的專有資訊或商業秘密），您必須停止您的測試，立即通知我們，並且不向其他任何人披露這些資料。

測試方法

以下測試方法未經授權：

• 網路阻斷服務（DoS 或 DDoS）測試或者其他損害對系統或資料的存取或破壞系統或資料的測試。
• 實體測試（如辦公室訪問、開門、尾隨），社交工程（如網路釣魚、語音釣魚），或任何其他非技術性的漏洞測試。

適用範圍

本政策僅適用於完全由 JLL 擁有和管理的系統和服務。

上述未明確列出的任何服務（如任何連接服務）都不在適用範圍內，也未經授權進行測試。此外，在我們供應商的系統中發現的漏洞不屬於本政策的適用範圍，應依照供應商的披露政策（如有）直接向其報告。如果您不確定某個系統是否在適用範圍內，請聯絡我們：vulndisclosure@jll.com。

儘管我們可能會協助開發和維護其他可透過網際網路存取的系統或服務，但我們要求僅對本政策的適用範圍涵蓋的系統和服務進行積極研究和測試。如果有一個特定系統不在適用範圍內，但您認為值得進行測試，請在進行任何測試之前聯絡我們就此商討。我們將會隨著時間的推移評估本政策的適用範圍。

根據本政策提交的資訊將僅用於防禦性目的，以便減輕或修補漏洞。如果您的研究結果包括新發現的漏洞，影響到某一產品或服務的所有使用者，而不只是影響到 JLL，我們可能會與網路安全和基礎設施安全局 (Cybersecurity and Infrastructure Security Agency) 共享您的報告，在他們的協調漏洞披露程序下進行處理。未經明確許可，我們不會共享您的姓名或聯絡資訊。

我們透過 vulndisclosure@jll.com 接受漏洞報告。可以匿名提交報告。如果您共享了聯絡資訊，我們將會在 3 個工作日內確認收到您的報告。

我們不支持 PGP 加密的電子郵件。

我們希望您能提供的內容

為了幫助我們對提交的報告進行分類和確定優先次序，我們建議您的報告：

• 說明發現漏洞的位置和利用漏洞的潛在影響。
• 詳細描述重現漏洞所需的步驟（概念驗證腳本或螢幕擷取畫面會很有幫助）。
• 在可能的情況下使用英文。

我們能為您做到的事項

當您選擇與我們共享您的聯絡資訊時，我們承諾盡可能公開和迅速地與您協調。

• 在 3 個工作日內，我們將會確認已經收到您的報告。
• 我們將會盡最大努力向您確認存在漏洞，並盡可能透明地說明我們在修補過程中所採取的步驟，包括對可能延遲解決的問題或挑戰。
• 我們將會保持公開對話來討論問題。

疑問

有關本政策的疑問可發送至 vulndisclosure@jll.com。我們還邀請您與我們聯絡，為改進本政策提出建議。