安全披露政策

Matrix.org 高度赞扬安全漏洞调查工作 安全研究人员开展的安全漏洞调查工作。我们遵循 负责任的披露](https://en.wikipedia.org/wiki/Responsible_disclosure) 的做法 以最大限度地保护 Matrix 的用户群免受安全问题的影响。 就我们而言，这意味着

• 我们将优先处理安全事件。
• 我们将与你合作，确定所报告漏洞的披露时限。 漏洞的披露时限。在此期限内，我们将努力修复漏洞或决定 接受风险，然后我们将披露漏洞。
• 我们将始终以透明的方式让社区了解任何影响他们的事件。 影响他们的事件。
• 公布漏洞后，我们将在我们的 安全名人堂，如果你愿意的话。

一般来说，我们会争取在收到你的报告后 90 天内修复漏洞，但 但对于特别复杂的漏洞，我们可能会建议延长时间（通常为 120 天）。 漏洞。在某些情况下，如果漏洞特别具有破坏性 和/或容易被利用的漏洞，我们可能会将公布技术细节的时间推迟到 在漏洞修复公开后，我们可能会推迟一段额外的时间（通常不超过 30 天）。

如果你发现了 Matrix 中的安全漏洞，我们请你 security@matrix.org](mailto:security@matrix.org)。 如果你想加密你的电子邮件，可以选择使用我们的 PGP 密钥。 在未与我们验证之前，请不要在公开场合讨论潜在漏洞。 的情况下，请不要在公开场合讨论潜在漏洞。

收到报告后，安全团队将

• 审查报告、验证漏洞并回复确认和/或进一步的信息请求。 和/或要求提供进一步信息；我们会在 5 个工作日内回复。
• 一旦报告的安全漏洞得到解决，我们将通知 欢迎研究人员选择公开披露。

以下是已知问题和/或我们认为不存在的问题。 问题。请不要发送有关以下内容的报告：

• 与 SPF 或 DMARC 有关的问题。

Matrix.org 基金会通常不提供漏洞悬赏，不过 在 Matrix 基础上构建的组织将来可能会这样做。我们维护一个 安全名人堂 以表彰那些负责任地向我们披露安全问题的人。 安全名人堂](/security-hall-of-fame) 以表彰过去负责任地向我们披露安全问题的人。

通过DeepL.com（免费版）翻译