01
适用范围
本政策适用于由苏州盖拇斯达科技有限公司运营的正式官网 https://www.gamestartstudio.cn 及本站自行开发和维护的公开页面。
Vercel、GitHub、DNS、邮箱及其他第三方平台自身的产品漏洞,应优先按照对应服务商的安全渠道报告;如果问题由本站配置或集成方式引起,也可以同时通知我们。
02
如何报告
请通过gaimusida@gmail.com发送安全报告,邮件主题建议注明“安全漏洞报告”。为了便于复现,请尽量包含:
- 受影响的页面、接口或完整 URL。
- 问题现象、潜在影响与发现时间。
- 可重复执行的最小复现步骤和测试环境。
- 已经采取的操作,以及是否接触到非本人数据。
- 必要的截图、响应片段或经过脱敏的日志。
- 便于继续沟通的联系方式。
请勿在初始报告中发送账号密码、访问令牌、完整个人信息、真实客户数据或大体积源码文件。确有必要时,我们会另行确认安全的传输方式。
03
测试边界
公开的 security.txt 和本政策仅提供报告渠道,不代表自动授权任何侵入式测试。未经书面确认,请不要进行以下行为:
- 访问、下载、修改或删除不属于自己的数据。
- 绕过身份验证、权限控制、支付或下载限制。
- 执行拒绝服务、压力测试、自动化高频扫描或资源耗尽操作。
- 上传恶意程序,植入持久化代码,或改变生产环境配置。
- 对员工、客户或合作方实施社会工程、钓鱼、骚扰或垃圾信息发送。
- 公开尚未修复且可能被利用的细节。
如果验证问题可能影响真实用户、生产数据或服务可用性,请停止操作并先联系我们确认测试方式。
04
报告处理
收到可复现报告后,我们会评估影响范围、修复优先级和可行的缓解措施,并通过报告中提供的联系方式沟通进展。处理时间会受到问题复杂度、第三方依赖和发布验证范围影响。
重复报告、仅包含自动扫描结果但无法说明实际影响的报告,以及与本站无关的第三方问题,可能只进行简要回复。
05
协调披露
请在公开漏洞细节前与我们协调,并为确认、修复和部署验证保留合理时间。如果问题涉及第三方服务,我们可能需要与对应服务商共同处理。未经双方另行书面约定,本政策不构成漏洞赏金、报酬、采购或雇佣承诺。
06
报告数据与隐私
安全报告中的联系方式和技术信息仅用于确认、复现、修复与沟通相关问题。请尽量对日志、截图和样本进行脱敏,并只提供解决问题所必需的信息。其他规则可参考本站隐私政策。
07
标准安全联系方式
自动化工具和安全研究人员可以读取本站的 security.txt。该文件按照 RFC 9116 提供联系地址、有效期、首选语言、规范地址和本政策地址。