ZelixAI (InterIP Networks BV) exploite un programme de divulgation coordonnée des vulnérabilités. Nous nous engageons à respecter les points suivants :
- Nous confirmerons la réception de votre rapport dans les 5 jours ouvrables.
- Nous enquêterons et, si confirmée, corrigerons la vulnérabilité dans un délai de 90 jours à partir de la date de confirmation.
- Nous vous demandons de ne pas divulguer publiquement la vulnérabilité avant l'expiration du délai de 90 jours et après que nous ayons confirmé le déploiement du correctif.
- Si un correctif ne peut pas être livré dans les 90 jours, nous conviendrons d'une prorogation mutuelle avec vous par écrit.
- Nous n'engagerons pas d'action en justice contre les chercheurs qui suivent cette politique de bonne foi.
1
Soumettez votre rapport
Envoyez une description claire de la vulnérabilité, les étapes pour la reproduire, l'URL/composant affecté et l'impact potentiel à security@zelixai.ai. Les rapports chiffrés PGP sont les bienvenus.
2
Accusé de réception (dans les 5 jours ouvrables)
Nous confirmons la réception et commençons le triage. Nous poserons des questions de clarification si nécessaire.
3
Correction et vérification (dans les 90 jours)
Nous corrigeons le problème et vous invitons à vérifier la correction si possible. Nous vous tenons informé de la progression.
4
Divulgation publique coordonnée
Une fois la correction confirmée, nous publions un avis de sécurité (le cas échéant) et vous créditions — avec votre permission — dans notre hall of fame.
Veuillez ne pas discuter des vulnérabilités potentielles dans les canaux publics (GitHub, réseaux sociaux, forums) avant de vous coordonner avec nous.
Les éléments suivants ne sont pas couverts par notre programme et ne seront pas récompensés ou reconnus :
✗
Attaques par déni de service (volumétrique ou au niveau de l'application)
✗
Hameçonnage, usurpation de domaine ou attaques d'ingénierie sociale contre les employés ou clients de Zelix AI
✗
Ingénierie sociale du personnel d'assistance
✗
Vulnérabilités de sécurité physique
✗
Spam par courrier électronique / rapports de misconfiguration SPF-DKIM sans exploitation démontrée
✗
Résultats de scanner automatisé sans vérification manuelle
✗
Vulnérabilités dans les services tiers que nous utilisons (signalez directement au fournisseur)
✗
Self-XSS nécessitant que la victime entre ses propres données malveillantes
Nous reconnaissons avec gratitude les chercheurs suivants qui nous ont signalé des vulnérabilités de manière responsable :
🏆
Aucune entrée pour le moment — soyez le premier à être reconnu !
Les chercheurs qui signalent une vulnérabilité valide et dans le champ d'application et qui consentent à être nommés apparaîtront ici après divulgation coordonnée.
