DJI声明

1.DJI非常重视自身产品和业务系统的信息安全问题，也意识到安全研究者和社区对DJI提升自身产品和业务系统安全水平的帮助。我们承诺对每一位报告者反馈的问题都有专人负责跟进、反馈 、分析和处理，并及时给予答复。
2.DJI恪守并支持负责任的漏洞报告流程，尊重每一位白帽子的研究成果。真诚欢迎每一位白帽子向DJI报告漏洞，我们将按照漏洞质量给予感谢和回馈。
3.DJI将用户利益放在第一位，尽最大努力保护DJI用户的利益。
4.DJI反对并谴责以下行为，并保留依法追究责任的权利：
（1）以测试为借口，利用漏洞进行破坏，损害用户利益的行为，包括但不限于利用漏洞盗取用户资料、隐私及虚拟财产。
（2）在漏洞测试过程中下载DJI的任何代码和数据。（如果发现可能导致代码和数据泄漏的问题，不实际下载内容并不会影响对漏洞的评级）。
（3）利用漏洞攻击DJI的系统，造成系统宕机或者失效。
（4）利用漏洞或者在测试过程中置公众安全于不顾，严重影响飞行安全或者公开空域安全的行为。
（5）利用安全漏洞的恐吓、敲诈行为或恶意夸大漏洞影响，引起公众恐慌的行为。
（6）不负责任的漏洞披露，恶意传播漏洞，或在报告漏洞后、漏洞未修复前，对漏洞进行公开、传播或交易的行为。
（7）有害或者结果不可控的安全测试行为。
（8）违反国际通用法律或者当地法规的测试行为。
（9）不能妥善保管漏洞测试过程中的数据，导致DJI蒙受损失的行为。
测试过程中有任何疑问，随时和DJI（bugbounty@dji.com）联系，我们将为您进行详细的指引。

注意

通过DJI漏洞奖励计划，向DJI提交漏洞，将等同于你已接受DJI漏洞报告和奖励的全部条款。可以在 这里 获取条款的详细内容。

漏洞报告流程

漏洞报告有效范围

仅涉及以下DJI产品及服务的漏洞报告才能参与DJI漏洞奖励计划（最后一次更新时间：2024-3-18）：
1. 域名：dji.com、skypixel.com、djicdn.com、djivideos.com、dji.net、robomaster.com、djiservice.org、enterprise.dji.com、ag.dji.com、auto.dji.com。
2. APP: DJI GO、DJI GO 4、DJI Assistant、DJI Assistant 2、DJI Mimo、畅片、DJI Ronin、DJI Fly、DJI Pilot等DJI官方APP。
3. 设备：在DJI安全维护周期内的所有产品。
注意 将不会接受：1）不再销售的产品或者已经宣布不再支持的产品漏洞；2）和DJI有关的供应商或者合作伙伴的漏洞。

漏洞报告要求

符合要求并且高质量的漏洞报告将会加快DJI 漏洞评估的进程，同时加快您获得奖金的进程。高质量的报告包括：
1. 详细描述漏洞的细节，并请包括漏洞的易利用程度和危害。
2. 复现漏洞的详细步骤。
3. 提供详细的测试环境信息，包括：
（a）漏洞涉及的URL/APP 、代码片段。对于设备，请提供设备的型号，版本以及SN。
（b）您在测试使用的公网IP地址。
（c）您在测试时使用的用户账号。
（d）非破坏性的漏洞POC（比如对于RCE漏洞，运行“hello world”）。
（e）请保留测试时的数据，并且作为报告附件提交。
注意：缺少这些信息可能会导致我们评估漏洞困难，并且影响到对您的响应和支付奖金。

负责任的漏洞披露

DJI 鼓励负责任的漏洞披露，包括：
1. 不在未获得 DJI 书面许可的情况下公布或告知他人漏洞细节。
2. 获得许可后，在披露过程中不得公布与用户隐私数据、DJI 服务器地址等可能侵犯DJI及用户隐私的信息。
3. 客观、诚实地描述漏洞的影响，夸大漏洞影响，煽动用户恐慌的行为将会受到追究。
4. 任何访问、下载、传播DJI 源码或者数据的行为可能触犯法律，并且DJI保留追究的权利。

漏洞评级因素

在对漏洞进行评级时，DJI 将主要考虑以下几个因素：
1. 可能泄漏的数据的敏感程度，数量。
2. 漏洞的易利用程度。
3. 可能对DJI用户造成的损失或者总体风险。
4. 影响到DJI产品的范围或者服务器的范围。
而如下的因素不会被考虑：
1. 您在漏洞挖掘过程中投入的时间成本。
2. 您为了漏洞挖掘所购买DJI产品的花费。
3. 其他不能明确漏洞影响或者严重程度的因素。

漏洞评级标准及奖励

DJI会给满足条件的漏洞报告者发放奖金或其他形式的非现金奖励，以表示对漏洞报告者的感谢。
1. 漏洞的第一报告者。
2. DJI 安全团队认定漏洞确实有效并且产生实际影响。
3. 漏洞报告者接受并遵守所有的条款。
4.致命/高/中级别漏洞将在90工作日内修复，低危风险漏洞将在180工作日内修复。漏洞修复可能会受环境或硬件的限制，实际修复时间将根据具体情况确认。
注意：1）已知漏洞不能获得奖励；2）DJI 拥有对奖励的最终解释权；3）对于奖金产生的税收，由漏洞报告者承担。

设备

APP

服务器

说明
[1]大量： 超过10000条;
[2]敏感信息：指身份证, 护照，信用卡，订单物流信息等信息;
[3]一般信息：指电话号码，邮件地址，用户账户等信息。

非现金奖励

条款变更

DJI 有权在任何时候变更漏洞奖励计划的相关条款，策略和奖金金额，而不对报告者进行通知。

争议解决办法

在漏洞报告处理过程中，如果报告者对流程处理、漏洞定级、漏洞评分等有异议的，可以通过邮箱：bugbounty@dji.com，并以标题[DJI漏洞处理异议]与工作人员及时反馈沟通。

建议反馈

任何意见和建议，欢迎通过邮箱bugbounty@dji.com进行反馈。

最终解释权归DJI安全应急响应中心所有。

V1.2，更新于2024年3月18日