برای جلوگیری از رویدادهای ناخواسته، به ویژه نقض حریم خصوصی، تخریب خدمات ما، اختلال در سیستم های تولید و تخریب داده ها، با حسن نیت و با احتیاط بسیار عمل کنید.
تحقیقات امنیتی را فقط در محدوده انجام دهید - بخش 4 "در محدوده" و بخش 5 "خارج از محدوده" را ببینید .
فقط از روش ها یا تکنیک هایی استفاده کنید که برای تأیید آسیب پذیری ها ضروری هستند. از آسیب پذیری ها فراتر از اثبات مفهوم سوء استفاده نکنید.
داده هایی را که مالک آنها نیستید یا حق دسترسی به آنها را ندارید، اصلاح و حذف نکنید (در صورت امکان حساب های آزمایشی خود را ایجاد کنید یا محتوای آزمایشی خود را برای جلوگیری از تأثیرگذاری بر کاربران واقعی ایجاد کنید.
هیچ داده خطرناکی (مثلاً درب پشتی) را آپلود نکنید.
سعی نکنید به مقادیر غیرضروری از داده ها (مثلاً یک تا ده به جای 1000 رکورد) دسترسی پیدا کنید.
کد/فرمان های خطرناک را اجرا نکنید: (به عنوان مثال "whoami" به جای "sudo rm -rf").
اطلاعات کافی ارائه دهید تا آسیب پذیری قابل تایید و بازتولید باشد. اثبات مفاهیم قدردانی می شود (به عنوان مثال قطعه کد، دستورالعمل های گام به گام، فیلم ها).
هر گونه آسیب پذیری را که کشف کرده اید به موقع گزارش دهید.
فقط از کانال های رسمی برای تماس اولیه با ما استفاده کنید - بخش 6 "گزارش آسیب پذیری ها" را ببینید .
اطلاعات مربوط به آسیبپذیریهایی که کشف کردهاید را تا زمانی که مشکل را حل نکردهایم محرمانه نگه دارید. این مانع از اطلاع رسانی یک آسیبپذیری به اشخاص ثالثی که آسیبپذیری مستقیماً به آنها مربوط است، نمیشود، اما گروه امنیتی سونیا نباید در چنین گزارشهایی ارجاع داده شود.
داده های بازیابی شده را به محض اینکه دیگر مورد نیاز نیست و حداکثر یک ماه پس از رفع آسیب پذیری، هرکدام زودتر رخ دهد، حذف کنید، مگر اینکه توسط قانون تنظیم شده باشد.