Blockchain0x ਵਿੱਚ ਸੁਰੱਖਿਆ।
ਏਜੰਟ ਭੁਗਤਾਨ ਵਾਸਤਵਿਕ ਪੈਸੇ ਨੂੰ ਹਿਲਾਉਂਦੇ ਹਨ। ਗਾਹਕਾਂ ਦੇ ਫੰਡਾਂ ਦੀ ਸੁਰੱਖਿਆ ਕਰਨ ਵਾਲੀਆਂ ਆਰਕੀਟੈਕਚਰ ਚੋਣਾਂ, ਅੱਜ ਦੀ ਆਡੀਟ ਪੋਜ਼ੀਸ਼ਨ, ਅਤੇ ਜੇ ਤੁਸੀਂ ਕੁਝ ਗਲਤ ਲੱਭਦੇ ਹੋ ਤਾਂ ਸਾਡੇ ਨਾਲ ਕਿਵੇਂ ਸੰਪਰਕ ਕਰਨਾ ਹੈ।
ਤੁਸੀਂ ਇਸ ਪੰਨੇ ਤੋਂ ਕੀ ਉਮੀਦ ਕਰ ਸਕਦੇ ਹੋ।
ਅਸੀਂ ਇੱਕ ਸ਼ੁਰੂਆਤੀ ਪੜਾਅ ਦੀ ਕੰਪਨੀ ਹਾਂ ਜੋ ਉਹ ਢਾਂਚਾ ਭੇਜ ਰਹੀ ਹੈ ਜਿਸ 'ਤੇ ਗਾਹਕ ਭੁਗਤਾਨ ਅਧਿਕਾਰ ਨਾਲ ਭਰੋਸਾ ਕਰਨਗੇ। ਭਰੋਸਾ ਉਸ 'ਤੇ ਬਣਦਾ ਹੈ ਜੋ ਤੁਸੀਂ ਪੁਸ਼ਟੀ ਕਰ ਸਕਦੇ ਹੋ, ਨਾ ਕਿ ਜਿਸ 'ਤੇ ਤੁਹਾਨੂੰ ਦੱਸਿਆ ਗਿਆ ਹੈ। ਇਹ ਪੰਨਾ ਚਾਰ ਚੀਜ਼ਾਂ ਦਸਤਾਵੇਜ਼ ਕਰਦਾ ਹੈ ਜੋ ਗਾਹਕ ਅਤੇ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾ ਪੁਸ਼ਟੀ ਕਰ ਸਕਦੇ ਹਨ ਜਾਂ ਸਾਨੂੰ ਰੱਖ ਸਕਦੇ ਹਨ: ਉਹ ਵਾਸਤੁਕੀ ਗਾਰੰਟੀ ਜੋ ਉਹਨਾਂ ਨੂੰ ਰੱਖਦੀ ਹੈ ਜੇਕਰ ਅਸੀਂ ਹੋਰ ਸਭ ਕੁਝ ਬਾਰੇ ਗਲਤ ਹਾਂ, ਸਾਡੇ ਆਡਿਟ ਪੋਜ਼ੀਸ਼ਨ ਦੀ ਵਰਤਮਾਨ ਸਥਿਤੀ (ਜਿਸ ਵਿੱਚ ਜੋ ਕੁਝ ਅਸੀਂ ਅਜੇ ਤੱਕ ਨਹੀਂ ਕੀਤਾ), ਸਾਡੇ ਬੱਗ-ਬਾਊਂਟੀ ਪ੍ਰੋਗਰਾਮ ਦਾ ਦਾਇਰਾ ਅਤੇ ਇਨਾਮ, ਅਤੇ ਜ਼ਿੰਮੇਵਾਰ ਖੁਲਾਸੇ ਲਈ ਸੰਪਰਕ ਪੱਧਰ.
What this page is not: a marketing surface designed to look maximally serious about security. We did not invent security certifications we do not hold, did not list "compliance" with frameworks we have not audited against, and did not put trust badges on the page that we did not earn. When we have a SOC 2 attestation or a third-party penetration test report, those will be referenced here with the auditing firm, the date, and the scope. Until then, this page says so plainly.
ਚਾਰ ਗੁਣ ਜੋ ਨਿਰਮਾਣ ਦੁਆਰਾ ਸਥਿਰ ਹਨ।
ਹੇਠਾਂ ਦਿੱਤੀਆਂ ਗਾਰੰਟੀਆਂ ਆਰਕੀਟੈਕਚਰਲ ਹਨ - ਇਹ ਇਸ ਗੱਲ ਦੇ ਗੁਣ ਹਨ ਕਿ ਸਿਸਟਮ ਕਿਵੇਂ ਬਣਾਇਆ ਗਿਆ ਹੈ, ਨਾ ਕਿ ਇਹ ਕਿਵੇਂ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ। ਕਾਰਜਕਾਰੀ ਸੁਰੱਖਿਆ ਲਾਪਤਾ ਹੋ ਸਕਦੀ ਹੈ (ਇੱਕ ਲੀਕ ਕੀ, ਇੱਕ ਗਲਤ ਸੰਰਚਨਾ); ਆਰਕੀਟੈਕਚਰਲ ਗਾਰੰਟੀਆਂ ਦਿਨ-ਬਦਿਨ ਦੀਆਂ ਕਾਰਵਾਈਆਂ ਦੇ ਪੂਰਨ ਹੋਣ 'ਤੇ ਨਿਰਭਰ ਨਹੀਂ ਹੁੰਦੀਆਂ। ਇਹ ਸੁਰੱਖਿਆ ਕਹਾਣੀ ਦੇ ਉਹ ਹਿੱਸੇ ਹਨ ਜਿਨ੍ਹਾਂ 'ਤੇ ਤੁਸੀਂ ਸਭ ਤੋਂ ਖਰਾਬ ਕਾਰਵਾਈਆਂ ਦੇ ਹਫਤੇ ਵਿੱਚ ਵੀ ਨਿਰਭਰ ਕਰ ਸਕਦੇ ਹੋ.
ਪਲੇਟਫਾਰਮ ਪੱਧਰ 'ਤੇ ਗੈਰ-ਸੰਭਾਲਣ ਵਾਲਾ
Blockchain0x ਗਾਹਕ ਦੇ ਫੰਡ ਨਹੀਂ ਰੱਖਦਾ। ਵੈਲਿਟ ਏਜੰਟ ਦੇ ਮਾਲਕ ਹਨ (ਜਾਂ ਉਸ ਅਧਾਰਭੂਤ ਕਸਟੋਡੀ ਪ੍ਰਦਾਤਾ ਦੁਆਰਾ ਜਿਸਨੂੰ ਗਾਹਕ ਨੇ ਜੁੜਿਆ ਹੈ, ਜਿਵੇਂ ਕਿ Circle Programmable Wallets ਜਾਂ Coinbase Smart Wallet)। Blockchain0x ਸੇਵਾ ਉਨ੍ਹਾਂ ਵੈਲਿਟਾਂ ਦੇ ਉਪਰ ਵਿਕਾਸਕਾਰ ਸਤਹ ਨੂੰ ਚਲਾਉਂਦੀ ਹੈ - APIs, ਡੈਸ਼ਬੋਰਡ, ਪਛਾਣ, ਖਰਚ ਨੀਤੀ - ਅਤੇ ਕਦੇ ਵੀ ਬੈਲੰਸਾਂ 'ਤੇ ਦਸਤਖਤ ਕਰਨ ਦਾ ਅਧਿਕਾਰ ਨਹੀਂ ਰੱਖਦੀ।
ਖਰਚ ਨੀਤੀ ਸਰਵਰ-ਪਾਸੇ ਲਾਗੂ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਏਜੰਟ ਵਿੱਚ ਨਹੀਂ
ਦਿਨਾਨੁਸਾਰ ਸੀਮਾਵਾਂ, ਪ੍ਰਤੀ-ਭੁਗਤਾਨ ਛੱਤਾਂ, ਪਾਰਟੀ ਸਹਾਇਤਾ ਸੂਚੀਆਂ ਅਤੇ ਸਮਾਂ ਵਿੰਡੋਜ਼ ਨੂੰ Blockchain0x ਵਾਲਿਟ API ਦੁਆਰਾ ਹਰ ਭੁਗਤਾਨ ਇਰਾਦੇ 'ਤੇ ਨਿਯਮਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਏਜੰਟ ਰਨਟਾਈਮ ਨੀਤੀ ਸਟੋਰੇਜ ਤੱਕ ਨਹੀਂ ਪਹੁੰਚ ਸਕਦਾ; ਇੱਕ ਏਜੰਟ ਜੋ ਪ੍ਰੰਪਟ-ਇੰਜੈਕਟ ਕੀਤਾ ਗਿਆ ਹੈ ਉਹ ਫਿਰ ਵੀ ਆਪਣੇ ਸੀਮਾਵਾਂ ਨੂੰ ਵਧਾ ਨਹੀਂ ਸਕਦਾ।
ਰਸੀਦ-ਪ੍ਰਮਾਣਿਤ ਭੁਗਤਾਨ ਪੁਸ਼ਟੀ
API ਦੁਆਰਾ ਉੱਪਰ ਆਏ ਭੁਗਤਾਨ ਰਸੀਦਾਂ ਨੂੰ ਪੁਸ਼ਟੀ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਜਾਰੀ ਕੀਤੇ ਗਏ ਲੈਣ-ਦੇਣ ਦੇ ਖਿਲਾਫ ਸਰਵਰ-ਪਾਸੇ ਪ੍ਰਮਾਣਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇੱਕ ਕਲਾਇੰਟ ਸਥਾਨਕ ਤੌਰ 'ਤੇ ਇੱਕ ਰਸੀਦ ਨੂੰ ਨਕਲ ਨਹੀਂ ਕਰ ਸਕਦਾ ਅਤੇ ਇਸਨੂੰ ਭੁਗਤਾਨ ਦੇ ਸਬੂਤ ਵਜੋਂ ਪੇਸ਼ ਕਰ ਸਕਦਾ; ਰਸੀਦ-ਪੁਸ਼ਟੀਕਰਨ ਕਦਮ ਉਹੀ ਭਰੋਸਾ ਮਾਡਲ ਹੈ ਜੋ Stripe ਵੈੱਬਹੂਕ ਦਸਤਖਤ ਵਰਤਦੇ ਹਨ।
Webhook ਦਸਤਖਤ, URLs ਵਿੱਚ ਸਾਂਝੇ ਰਾਜ਼ ਨਹੀਂ
ਹਰ ਵੈਬਹੂਕ ਘਟਨਾ ਜਿਸਨੂੰ ਅਸੀਂ ਜਾਰੀ ਕਰਦੇ ਹਾਂ, ਉਸਨੂੰ ਇੱਕ ਪ੍ਰਤੀ-ਕਿਰਾਏਦਾਰ ਹਸਤਾਖਰ ਗੁਪਤ ਕੋਡ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਕੱਚੇ ਸਰੀਰ 'ਤੇ HMAC-SHA256 ਨਾਲ ਹਸਤਾਖਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਹਸਤਾਖਰ ਗੁਪਤ ਕੋਡ ਕਦੇ ਵੀ URL ਜਾਂ ਕਵੈਰੀ ਸਟ੍ਰਿੰਗ ਵਿੱਚ ਨਹੀਂ ਭੇਜਿਆ ਜਾਂਦਾ। ਗਾਹਕ ਰਸੀਦ 'ਤੇ ਹਸਤਾਖਰ ਦੀ ਪੁਸ਼ਟੀ ਕਰਦੇ ਹਨ; ਅਸੀਂ ਦਸਤਾਵੇਜ਼ਾਂ ਵਿੱਚ ਹਵਾਲਾ ਲਾਗੂ ਕਰਦੇ ਹਾਂ।
ਅਸੀਂ ਅੱਜ ਕਿੱਥੇ ਹਾਂ, ਇਮਾਨਦਾਰੀ ਨਾਲ।
The table below is the current state of external audits, third-party reviews, and certifications. We update this page when any line changes - dates are real, scopes are real, and "planned" means scheduled with a firm, not aspirational.
ਤੀਜੀ ਪੱਖੀ ਪੈਨਿਟ੍ਰੇਸ਼ਨ ਟੈਸਟ
Q4 2026 ਲਈ ਯੋਜਨਾ ਬਣਾਈ ਗਈਪਹਿਲਾ ਬਾਹਰੀ ਪੈਨੇਟ੍ਰੇਸ਼ਨ ਟੈਸਟ ਸਾਲ ਦੇ ਦੂਜੇ ਹਿੱਸੇ ਲਈ ਨਿਯੋਜਿਤ ਕੀਤਾ ਗਿਆ ਹੈ। ਦਾਇਰਾ: ਵੈਬ ਐਪ, ਜਨਤਕ APIs, ਵੈਬਹੁਕ ਸਤਹ, ਡੈਸ਼ਬੋਰਡ ਪ੍ਰਮਾਣਿਕਤਾ। ਪੂਰਾ ਰਿਪੋਰਟ ਸੰਖੇਪ ਇੱਥੇ ਪੂਰਾ ਹੋਣ 'ਤੇ ਪ੍ਰਕਾਸ਼ਿਤ ਕੀਤਾ ਜਾਵੇਗਾ।
SOC 2 ਕਿਸਮ I
2027 ਲਈ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਗਿਆਅਸੀਂ ਅੱਜ SOC 2 ਦੀ ਜਾਂਚ ਨਹੀਂ ਕੀਤੀ। ਇੱਕ ਪ੍ਰਕਾਰ I ਦੀ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਸੱਚੀ ਉਮੀਦ ਕੀਤੀ ਜਾਣ ਵਾਲੀ ਖਿੜਕੀ 2027 ਦੇ ਪਹਿਲੇ ਹਿੱਸੇ ਵਿੱਚ ਹੈ; ਪ੍ਰਕਾਰ II 6 ਤੋਂ 12 ਮਹੀਨਿਆਂ ਦੀ ਨਿਗਰਾਨੀ ਦੇ ਬਾਅਦ ਆਉਂਦੀ ਹੈ।
ਸਮਾਰਟ-ਕਾਂਟ੍ਰੈਕਟ ਆਡੀਟ
ਉੱਪਰੋਂ ਵਿਰਾਸਤ ਵਿੱਚਅੱਜ ਅਸੀਂ ਆਪਣੇ smart contracts ਚਲਾਉਂਦੇ ਨਹੀਂ ਹਾਂ। On-chain primitives Circle Programmable Wallets, Coinbase Smart Wallet, ਅਤੇ underlying Base / USDC contracts ਹਨ, ਜਿਨ੍ਹਾਂ ਸਭ ਦੇ issuing teams ਵਲੋਂ ਆਪਣੇ independent audit reports ਹਨ। ਜੇ ਅਤੇ ਜਦੋਂ ਅਸੀਂ ਆਪਣੇ contracts (account-abstraction features) ship ਕਰਾਂਗੇ, ਤਾਂ mainnet deployment ਤੋਂ ਪਹਿਲਾਂ ਉਹ audited ਹੋਣਗੇ।
ਸਾਲਾਨਾ ਅੰਦਰੂਨੀ ਸੁਰੱਖਿਆ ਸਮੀਖਿਆ
ਜਾਰੀਤਿਮਾਹੀ ਗੁਪਤਤਾ-ਘੁੰਮਾਉਣ, ਨਿਰਭਰਤਾ-ਸਕੈਨ ਸਮੀਖਿਆ, ਅਤੇ ਪਹੁੰਚ-ਨਿਯੰਤਰਣ ਆਡੀਟ। ਗਾਹਕਾਂ ਲਈ ਸਾਡੇ [ਸੁਰੱਖਿਅਤ-ਤੁਹਾਡੇ-ਏਜੰਟ-ਵੈਲਟ ਗਾਈਡ](/learn/guides/secure-your-agent-wallet) ਵਿੱਚ ਪ੍ਰੀ-ਲਾਂਚ ਹਾਰਡਨਿੰਗ ਚੈਕਲਿਸਟ ਦਸਤਾਵੇਜ਼ਬੱਧ ਕੀਤੀ ਗਈ ਹੈ; ਅੰਦਰੂਨੀ ਸੰਸਕਰਣ ਇਸਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ।
ਅਸੀਂ ਸੁਰੱਖਿਆ ਖੋਜ ਲਈ ਭੁਗਤਾਨ ਕਰਦੇ ਹਾਂ।
ਅਸੀਂ ਇੱਕ ਨਿੱਜੀ ਬੱਗ-ਬਾਊਂਟੀ ਪ੍ਰੋਗਰਾਮ ਚਲਾਉਂਦੇ ਹਾਂ। ਰਿਪੋਰਟਾਂ ਸਿੱਧੇ ਸਾਡੇ ਸੁਰੱਖਿਆ ਈਮੇਲ 'ਤੇ ਜਾਂਦੀਆਂ ਹਨ; ਅਸੀਂ ਦੋ ਕਾਰੋਬਾਰੀ ਦਿਨਾਂ ਦੇ ਅੰਦਰ ਤਰਤੀਬ ਬਣਾ ਲੈਂਦੇ ਹਾਂ ਅਤੇ ਪੁਸ਼ਟੀ ਕੀਤੇ ਗਏ ਖੋਜਾਂ ਨੂੰ ਗੰਭੀਰਤਾ ਦੇ ਅਧਾਰ 'ਤੇ ਭੁਗਤਾਨ ਕਰਦੇ ਹਾਂ। ਭੁਗਤਾਨ USDC ਵਿੱਚ, Base 'ਤੇ, ਰਿਪੋਰਟਰ ਦੀ ਚੋਣ ਦੇ ਵਾਲਿਟ ਵਿੱਚ ਹੁੰਦੇ ਹਨ। ਅਸੀਂ ਰਿਪੋਰਟ ਫਾਈਲ ਕਰਨ ਲਈ ਕਾਨੂੰਨੀ NDA ਦੀ ਲੋੜ ਨਹੀਂ ਹੈ।
ਦਾਇਰੇ ਵਿੱਚ
- dashboard ਜਾਂ API 'ਤੇ authentication ਅਤੇ session management।
- ਇੱਕੋ account 'ਤੇ workspaces ਜਾਂ agents ਵਿਚਕਾਰ privilege escalation।
- API ਵਿੱਚ server-side request forgery, command injection, ਜਾਂ remote code execution।
- Webhook signature bypass ਜਾਂ receipt-validation bypass।
- Spend-policy bypass ਜੋ agent ਨੂੰ ਆਪਣੇ configured caps ਜਾਂ allowlist ਤੋਂ ਬਾਹਰ ਪੈਸਾ move ਕਰਨ ਦਿੰਦਾ ਹੈ।
- ਮਹੱਤਵਪੂਰਨ data exposure (ਹੋਰ tenants ਦੇ transactions, secrets, audit logs)।
ਦਾਇਰੇ ਤੋਂ ਬਾਹਰ
- Self-XSS ਜਾਂ ਉਹ ਹਮਲੇ ਜਿਨ੍ਹਾਂ ਵਿੱਚ victim ਨੂੰ ਆਪਣੀ console ਵਿੱਚ hostile input type ਜਾਂ paste ਕਰਨਾ ਪੈਂਦਾ ਹੈ।
- ਉਹ reports ਜੋ staff ਜਾਂ contractors ਦੀ social-engineering 'ਤੇ ਨਿਰਭਰ ਕਰਦੀਆਂ ਹਨ।
- ਉਨ੍ਹਾਂ third-party services ਖਿਲਾਫ਼ reports ਜਿਨ੍ਹਾਂ ਨਾਲ Blockchain0x integrate ਕਰਦਾ ਹੈ (Coinbase, Circle, ਆਦਿ) - ਉਹ third-party ਦੇ ਆਪਣੇ program ਨੂੰ ਜਾਣੀਆਂ ਚਾਹੀਦੀਆਂ ਹਨ।
- Test endpoints (`sk_test_` keys, `*.test.blockchain0x.com`, Base Sepolia) ਖਿਲਾਫ findings।
- ਦਿਖਾਏ ਗਏ ਪ੍ਰਭਾਵ ਤੋਂ ਬਿਨਾਂ ਗੁੰਮ security headers।
- ਇੱਕ ਕੰਮ ਕਰਦੇ proof-of-concept ਤੋਂ ਬਿਨਾਂ ਸਿਰਫ਼ ਸਿਧਾਂਤਕ ਸਮੱਸਿਆਵਾਂ।
| ਗੰਭੀਰਤਾ | ਉਦਾਹਰਣ | ਭੁਗਤਾਨ ਦੀ ਰੇਂਜ |
|---|---|---|
| ਨਾਜ਼ੁਕ | ਕ੍ਰਾਸ-ਟੈਨੈਂਟ ਫੰਡ ਮੂਵਮੈਂਟ, ਖਰਚ ਨੀਤੀ ਬਾਈਪਾਸ ਪੈਮਾਨੇ 'ਤੇ, ਉਪਭੋਗਤਾ ਦੀ ਕਾਰਵਾਈ ਦੇ ਬਿਨਾਂ ਖਾਤਾ ਕਬਜ਼ਾ। | $5,000 - $25,000 |
| ਉੱਚ | ਪ੍ਰਮਾਣਿਤ ਅਧਿਕਾਰ ਉੱਚਾਈ, ਵੈਬਹੂਕ-ਦਸਤਖਤ ਬਾਈਪਾਸ ਜਿਸਦਾ ਮਾਪਿਆ ਜਾ ਸਕਦਾ ਹੈ, API ਵਿੱਚ ਸਰਵਰ-ਪਾਸੇ ਦੀ ਬੇਇਮਾਨੀ। | $1,000 - $5,000 |
| ਮੱਧਮ | ਡੈਸ਼ਬੋਰਡ ਵਿੱਚ ਸਟੋਰ ਕੀਤੀ ਗਈ XSS ਵਿਅਵਹਾਰਕ ਸ਼ੋਧਯੋਗਤਾ ਦੇ ਰਸਤੇ ਨਾਲ, ਸੀਮਿਤ ਪ੍ਰਭਾਵ ਵਾਲੀ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਦਾ ਲੀਕ। | $250 - $1,000 |
| ਨਿਮਨ | ਸੀਮਿਤ ਸ਼ੋਧਯੋਗਤਾ ਨਾਲ ਪਰਾਏ XSS, ਛੋਟੇ ਜਾਣਕਾਰੀ ਦੇ ਲੀਕ, ਸਖਤ ਕਰਨ ਦੀ ਸਿਫਾਰਸ਼ਾਂ ਨਾਲ ਪ੍ਰਗਟ ਕੀਤੀ ਗਈ ਕੀਮਤ। | $50 - $250 |
ਭੁਗਤਾਨ ਦੇ ਫੈਸਲੇ ਅੰਤਿਮ ਹੁੰਦੇ ਹਨ ਅਤੇ ਇੰਜੀਨੀਅਰਿੰਗ ਲੀਡ ਦੁਆਰਾ ਫਾਊਂਡਰ ਨਾਲ ਗੱਲਬਾਤ ਵਿੱਚ ਕੀਤੇ ਜਾਂਦੇ ਹਨ। ਇਨਾਮ ਪੁਸ਼ਟੀਤ, ਦੁਹਰਾਏ ਜਾਣ ਵਾਲੇ ਖੋਜਾਂ ਲਈ ਹੁੰਦਾ ਹੈ; ਪਹਿਲਾਂ ਦੀ ਰਿਪੋਰਟ ਕੀਤੀ ਗਈ ਸਮੱਸਿਆ ਦੇ ਨਕਲ ਕਰਨ ਵਾਲੇ ਸਿਰਫ ਪਹਿਲੇ ਰਿਪੋਰਟਰ ਨੂੰ ਭੁਗਤਾਨ ਕਰਦੇ ਹਨ। ਜਦੋਂ ਸਮੱਸਿਆ ਠੀਕ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਅਸੀਂ ਇਸ ਪੰਨੇ 'ਤੇ ਰਿਪੋਰਟਰਾਂ ਨੂੰ ਜਨਤਕ ਤੌਰ 'ਤੇ ਕ੍ਰੈਡਿਟ ਕਰਦੇ ਹਾਂ।
ਸੁਰੱਖਿਆ ਸਮੱਸਿਆ ਦੀ ਰਿਪੋਰਟ ਕਿਵੇਂ ਕਰਨੀ ਹੈ।
ਇਸ ਸਮੱਸਿਆ ਦਾ ਵੇਰਵਾ, ਕਦਮ-ਦਰ-ਕਦਮ ਦੁਹਰਾਉਣ, ਪ੍ਰਭਾਵਿਤ URL ਜਾਂ ਐਂਡਪੋਇੰਟ, ਤੁਹਾਡੇ ਦੇਖੇ ਗਏ ਪ੍ਰਭਾਵ, ਅਤੇ ਬਾਊਂਟੀ ਭੁਗਤਾਨ ਲਈ ਤੁਹਾਡੀ ਸੰਪਰਕ ਜਾਣਕਾਰੀ (ਇੱਕ Base ਵੈਲਟ ਪਤਾ ਕਾਫੀ ਹੈ; ਕੋਈ ਵਾਸਤਵਿਕ ਨਾਮ ਦੀ ਲੋੜ ਨਹੀਂ) ਦੇ ਨਾਲ [email protected] 'ਤੇ ਈਮੇਲ ਕਰੋ। ਇਨਕ੍ਰਿਪਟ ਕੀਤੇ ਰਿਪੋਰਟਾਂ ਦਾ ਸਵਾਗਤ ਹੈ - ਸਾਡਾ PGP ਕੁੰਜੀ ਮੰਗਣ 'ਤੇ ਉਪਲਬਧ ਹੈ।
ਅਸੀਂ ਦੋ ਕਾਰੋਬਾਰੀ ਦਿਨਾਂ ਦੇ ਅੰਦਰ ਤੁਹਾਡੇ ਰਿਪੋਰਟ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ, ਪੰਜ ਦਿਨਾਂ ਦੇ ਅੰਦਰ ਤੁਰੰਤ ਕਾਰਵਾਈ ਕਰਨ, ਅਤੇ ਪੁਸ਼ਟੀ ਕੀਤੀਆਂ ਖੋਜਾਂ ਲਈ ਤੀਹ ਦਿਨਾਂ ਦੇ ਅੰਦਰ ਇੱਕ ਫਿਕਸ ਜਾਂ ਜੋਖਮ-ਗ੍ਰਹਿਣ ਫੈਸਲਾ ਭੇਜਣ ਦਾ ਵਾਅਦਾ ਕਰਦੇ ਹਾਂ (ਜਾਂ ਸੰਕਟਮਈ ਸਮੱਸਿਆਵਾਂ ਲਈ ਜਲਦੀ)। ਅਸੀਂ ਚੰਗੇ-ਇਰਾਦੇ ਵਾਲੀ ਸੁਰੱਖਿਆ ਖੋਜ ਦੇ ਖਿਲਾਫ ਕਾਨੂੰਨੀ ਕਾਰਵਾਈ ਦੀ ਧਮਕੀ ਨਹੀਂ ਦਿੰਦੇ ਜੋ ਜ਼ਿੰਮੇਵਾਰ ਖੁਲਾਸੇ ਦੇ ਨਿਯਮਾਂ ਦੀ ਪਾਲਣਾ ਕਰਦੀ ਹੈ - ਡੇਟਾ ਨੂੰ ਸਿਰਫ਼ ਉਸ ਤੱਕ ਖੋਲ੍ਹਣਾ ਜਿੰਨਾ ਕਿ ਸਮੱਸਿਆ ਨੂੰ ਦਰਸਾਉਣ ਲਈ ਲੋੜੀਂਦਾ ਹੈ, ਗਾਹਕ ਦੇ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਨਹੀਂ ਕੱਢਣਾ, ਉਤਪਾਦ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਨ ਵਾਲੇ ਵਿਘਟਨਕਾਰੀ ਟੈਸਟ ਨਹੀਂ ਚਲਾਉਣਾ.
ਗੈਰ-ਸੁਰੱਖਿਆ ਮੁੱਦਿਆਂ ਲਈ (ਆਮ ਸਹਾਇਤਾ, ਬਿਲਿੰਗ, ਭਾਈਚਾਰੇ), /contact ਦੀ ਵਰਤੋਂ ਕਰੋ। ਸੁਰੱਖਿਆ ਈਮੇਲ ਸਿਰਫ ਸੁਰੱਖਿਆ ਰਿਪੋਰਟਾਂ ਲਈ ਨਿਗਰਾਨੀ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।
ਜੇਕਰ ਕੁਝ ਗਲਤ ਹੁੰਦਾ ਹੈ ਤਾਂ ਅਸੀਂ ਕੀ ਕਹਿੰਦੇ ਹਾਂ।
ਉਤਪਾਦਨ ਘਟਨਾਵਾਂ ਜੋ ਗਾਹਕ ਦੇ ਫੰਡ, ਗਾਹਕ ਦੇ ਡੇਟਾ, ਜਾਂ ਭੁਗਤਾਨ API ਦੀ ਉਪਲਬਧਤਾ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦੀਆਂ ਹਨ, ਉਹ ਤੀਹ ਦਿਨਾਂ ਦੇ ਅੰਦਰ ਇੱਕ ਜਨਤਕ ਪੋਸਟ-ਮੋਰਟਮ ਪ੍ਰਾਪਤ ਕਰਦੀਆਂ ਹਨ, ਭਾਵੇਂ ਉਹ ਗੰਭੀਰਤਾ ਦੇ ਬਿਨਾਂ। ਛੋਟੀ ਘਟਨਾਵਾਂ (ਘਟੀਆ ਪ੍ਰਦਰਸ਼ਨ, ਅੱਧੇ ਖੇਤਰ ਦੀ ਬੰਦਸ਼) ਪ੍ਰਭਾਵਿਤ ਗਾਹਕਾਂ ਨੂੰ ਸਥਿਤੀ ਅੱਪਡੇਟਾਂ ਰਾਹੀਂ ਸੰਚਾਰਿਤ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ ਪਰ ਜ਼ਰੂਰੀ ਨਹੀਂ ਕਿ ਉਹ ਪੋਸਟ-ਮੋਰਟਮ ਪ੍ਰਾਪਤ ਕਰਦੀਆਂ ਹਨ।
ਅਸੀਂ ਪੋਸਟ-ਮੋਰਟਮ ਵਿੱਚ ਗਾਹਕਾਂ ਨੂੰ ਦੋਸ਼ ਨਹੀਂ ਦਿੰਦੇ। ਜੇਕਰ ਮੂਲ ਕਾਰਨ ਸਾਡਾ ਸੀ ਤਾਂ ਅਸੀਂ ਤੀਜੀ ਪਾਰਟੀ ਦੇ ਪ੍ਰਦਾਤਾਵਾਂ ਨੂੰ ਦੋਸ਼ ਨਹੀਂ ਦਿੰਦੇ। ਅਸੀਂ ਮੂਲ ਕਾਰਨਾਂ ਨੂੰ ਸਾਫ਼-ਸਾਫ਼ ਨਾਮ ਦਿੰਦੇ ਹਾਂ, ਜੋ ਕੁਝ ਅਸੀਂ ਨਤੀਜੇ ਵਜੋਂ ਬਦਲ ਰਹੇ ਹਾਂ, ਦੀ ਸੂਚੀ ਬਣਾਉਂਦੇ ਹਾਂ, ਅਤੇ ਪੋਸਟ-ਮੋਰਟਮ ਨੂੰ ਅਨੰਤਕਾਲ ਲਈ ਉਪਲਬਧ ਰੱਖਦੇ ਹਾਂ। ਗਾਹਕਾਂ ਨੂੰ ਜੋ ਉਮੀਦ ਰੱਖਣੀ ਚਾਹੀਦੀ ਹੈ ਉਹ ਇਹ ਹੈ ਕਿ ਅਸੀਂ ਤੁਹਾਨੂੰ ਦੱਸਾਂਗੇ ਕਿ ਕੀ ਹੋਇਆ ਇਸ ਤੋਂ ਪਹਿਲਾਂ ਕਿ ਤੁਸੀਂ ਪੁੱਛਣਾ ਪਵੇ.
ਸੁਰੱਖਿਆ ਸੰਪਰਕ
ਰਿਪੋਰਟਾਂ ਅਤੇ ਬਾਊਂਟੀ ਜਮ੍ਹਾਂ ਕਰਨ: [email protected]. PGP ਕੁੰਜੀ ਦੀ ਮੰਗ 'ਤੇ।