大疆 Bug Bounty 项目使用协议

【首部及导言】

欢迎您加入大疆Bug Bounty项目(以下简称“本项目”),本项目及大疆安全中心(以下简称“DSRC”)的设立背景是深圳市大疆创新科技有限公司(以下简称“大疆”或“DJI”)非常重视自身产品和业务系统的信息安全问题,也意识到安全研究者和社区对DJI提升自身产品和业务系统安全水平的帮助。我们真诚欢迎每一位报告者提交大疆公司产品和服务的漏洞,我们将按照漏洞质量向报告者给予感谢和回馈。
您应当阅读并遵守《大疆Bug Bounty项目使用协议》(以下简称“本协议”)。请您务必审慎阅读、充分理解各条款内容,特别是免除或者限制责任的条款、管辖与法律适用条款,以及开通或使用某项服务的单独协议。限制、免责条款可能以黑体加粗的形式提示您重点注意。
除非您已阅读并接受本协议所有条款,否则您无权加入本项目。您加入本项目并向DJI提交漏洞即视为您已阅读并同意接受本协议及大疆公司隐私权政策的约束www.dji.com/cn/policy
如果您未满 18 周岁,请在法定监护人的陪同下阅读本协议,并特别注意未成年人使用条款。

【声明】

DJI承诺对每一位报告者反馈的问题都有专人负责跟进、反馈 、分析和处理,并及时给予答复。DJI恪守并支持负责任的漏洞报告流程,尊重每一位报告者的研究成果。DJI将用户利益放在第一位,尽最大努力保护DJI用户的利益。

一、【协议的范围】

1.1 本协议是您与大疆之间订立的关于加入大疆Bug Bounty项目的使用协议。
1.2 “您”或“报告者”是指通过注册账号的途径获得软件产品及账号授权许可以及使用大疆公司相关平台的个人或组织。
1.3 本协议内容同时包括大疆可能不断发布的关于本项目的相关协议、业务规则等内容。上述内容一经正式发布,即为本协议不可分割的组成部分,您同样应当遵守。

二、【关于本项目】

2.1 您进入DSRC https://security.dji.com 注册/登录后可根据相关指引提交大疆公司产品和服务的漏洞。DJI 将对您提交的漏洞进行评估,若被认定为安全漏洞,DJI将给予每个漏洞50美金-30000美金的奖励,大疆会从前述奖励金中扣除个人所得税(如有)。
2.2 符合要求并且高质量的漏洞报告将会加快DJI 漏洞评估的进程,同时加快您获得奖金的进程。高质量的报告包括:
(1)详细描述漏洞的细节,并包括漏洞的易利用程度和危害性;
(2)复现漏洞的详细步骤;
(3)提供详细的测试环境信息,包括:
漏洞涉及的URL/APP 、代码片段;
设备的型号、版本以及SN;
您在测试使用的公网IP地址;
您在测试时使用的账号;
非破坏性的漏洞POC(比如对于RCE漏洞,运行“hello word”);
保留测试时的数据,并且作为报告附件提交。
您理解并同意:缺少上述信息可能会导致DJI评估漏洞困难,并且影响对您的响应及奖金支付事宜。
2.3 您提交的漏洞范围包括:
(1)域名:dji.com、skypixel.com、djicdn.com、djivideos.com、dji.net、robomaster.com、djiservice.org
(2)APP: DJI GO、DJI GO 4、DJI Assistant、DJI Assistant 2等DJI官方APP
(3)设备:P3系列、P4系列、Mavic系列、Spark、Inspire1系列、Inspire2、OSMO系列、Ronin系列、农机、行业机、飞控产品
您理解并同意:DJI不接受对于停止销售或者已经官方宣布不再支持的产品或服务的漏洞反馈,DJI不接受关于第三方产品或服务的漏洞反馈。
2.4 在对漏洞进行评级时,DJI 将主要考虑以下几个因素:
(1)可能泄漏的数据的敏感程度及数量;
(2)漏洞的易利用程度;
(3)对DJI用户造成损失的可能性及总体风险;
(4)DJI产品或者服务器的受影响范围;
您理解并同意,在对漏洞进行评级时,下列因素不在DJI的考虑范围:
(1)您在漏洞挖掘过程中投入的时间成本;
(2)您为了漏洞挖掘所购买DJI产品的花费;
(3)已被DJI所知晓的漏洞;
(4)其他不能明确漏洞影响或者严重程度的因素。

2.5 奖励原则遵循“第一报告人”原则,即同种类型的安全漏洞,只有第一报告人可以获得相应的奖励。对于漏洞的评估和认定,包括但不限于漏洞的有效性、漏洞的威胁等级、奖励金额的匹配等,大疆拥有最终解释权。
2.6 DJI安全团队认定漏洞确实有效并且产生实际影响后,会向满足奖金发放要求的报告者发放奖金。 **您理解并同意:在必要的情况下,大疆有权要求您提供包括但不限于如下个人信息资料(如果您不提供相关信息,DJI可能无法安排奖金支付事宜):
(1)姓名,系您正在使用的公民身份证、护照以及其他有效身份证件载明的姓名。
(2)证件号码:您有效身份证件的编号。
(3)移动电话:您本人的正在使用的移动电话号码。
(4)联系地址:您本人常住的住所地址或有效的通讯地址。
2.7 关于漏洞的披露,您必须遵循以下要求:
(1)不在未获得DJI许可的情况下向他人披露有关漏洞的任何细节;
(2)获得DJI的许可后,在披露过程中不公布用户数据、用户隐私或DJI服务器地址等可能损害DJI及用户合法权益的信息;
(3)必须客观、真实描述漏洞的影响,任何夸大漏洞影响、煽动用户、恶意制造恐慌的行为将会受到追究;
2.8 您在参与本项目过程中提供的个人信息资料必须是完整的、真实的、有效的,大疆对您提供的个人信息资料仅进行书面的、形式的审查,大疆并没有能力验证、核实您个人信息资料的真实性;因您未提供完整的、真实的、有效的个人信息资料导致在本项目中产生的任何不利于您的后果均由您承担。您应当准确填写并及时更新您的联系信息,以便我们与您进行有效联系,因通过这些联系方式无法与您取得联系,导致您所产生任何损失或后果的,由您全部承担。
2.9 一般情况下,DJI遵循以下漏洞修复周期:
(1)server类漏洞:“致命等级”在10个工作日内,“高危等级”在14个工作日内,“中危等级”在30个工作日内,“低危等级”在45个工作日内完成修复;
(2)APP和设备类漏洞:“致命等级”将在最新版本完成修复,其余等级漏洞在90个工作日内完成修复;
(3)注意:漏洞修复受各类环境因素影响,最终修复时间视实际情况而定。
2.10一般情况下,DJI将在2周内回复您的漏洞报告(双休及节假日除外)。

三、【报告者的权利义务】

3.1 您在使用大疆产品和服务或进行漏洞收集、提交或发布时,应当遵守宪法、法律、法规和规章、公共秩序和社会公德以及本协议的规定,不得影响大疆产品和服务的正常运行,不得侵害大疆产品和服务的用户隐私和数据安全,不得危害网络安全。
3.2 您不得利用大疆产品和服务或在漏洞收集过程中从事包括但不限于危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分列国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
3.3 您理解并同意:您是以研究和测试为目的进行漏洞发现和收集活动,基于诚信原则提交漏洞信息,并确保您是依据您自身所拥有的知识和技能,通过合法正当的方式和途径发现该漏洞信息的存在,您保证您所提交的漏洞信息所包含的全部权利为合法。
3.4 您理解并同意:您对您发现、收集、提交或发布漏洞等的研究或评估的方式、方法、工具及手段的合法性负责,大疆对此不承担任何法律责任。
3.5 您理解并同意:在进行漏洞收集、测试过程中,不得非法侵入大疆网络、干扰大疆产品和服务的正常功能、窃取用户数据等;不得提供专门用于侵入大疆网络、干扰大疆产品和服务正常功能、窃取用户数据等的程序和工具;并不得为他人从事上述危害活动提供技术支持等帮助。
3.6 DJI尊重您的个人信息,将会采取必要的、合理的措施保护您的个人信息,除用于受理、评判和处理您提交的漏洞、法律或有法律赋予权限的有关部门要求或您同意等原因外,DJI未经您的同意不向第三方公开或透露您提交的本协议第 2.6 条所指的个人信息。
3.7 您理解并同意:您不得窃取或以其他非法方式获取大疆产品和服务的用户信息,不得非法出售或者非法向他人提供大疆产品和服务的用户信息。
3.8 您理解并同意:您所提交的漏洞报告的所有权及全部知识产权归大疆所有。未经大疆书面许可,您不得自行使用、向任何第三方披露或允许第三方使用上述漏洞报告和该等知识产权。如您违反本条规定,大疆有权追回向您发放的所有奖励并追究您的法律责任。
3.9 您理解并同意:对您在发现、收集、提交或发布漏洞及本协议履行过程中所知悉的任何关于大疆和大疆用户的信息(以下简称“保密信息”),无论在本协议期限内还是本协议终止后,您均负有严格的保密义务。您保证,您所知悉的所有大疆的保密信息只用于本协议的目的,不得用于其他任何目的。未经大疆事先书面授权,您不得自行使用,或以任何方式向第三方披露、转让、许可使用、交换、赠与或与任何其他第三方共同或以任何其他方式使用该等保密信息。如您违反本条规定,大疆有权追回向您发放的所有奖励,并追究您的法律责任。
3.10 您在测试过程中如有任何疑问,您可通过bugbounty@dji.com邮箱联系DJI,工作人员将为您提供详细的指引。

四、【报告者行为规范】

4.1【注意事项】
4.1.1 您充分理解并同意:本项目的某些功能可能会让DJI以外的组织或个人知晓您的某些信息,例如:您在DSRC网站上的昵称、排名等。您应了解本部分的信息公开和透露可能会给您带来潜在风险,并自行承担由此造成的风险。
4.1.2 您充分理解并同意:大疆可能会对您在本项目中的相关操作信息等进行使用,也可能通过第三方提供的服务向您本人、其他用户展示您的相关信息。大疆也可能会基于安全因素,收集、使用您在DSRC网站上的相关操作行为等信息。
4.1.3 大疆有权向您展现各种信息,包括但不限于、新闻信息及宣传信息等。
4.1.4 您理解并同意:DJI将努力保障您在本项目中的数据存储安全,但是,并不能就此提供完全保证,包括但不限于以下情形:
(1)DJI不对您在本项目中相关数据的删除或储存失败负责;
(2)DJI有权根据实际情况自行决定您在本项目中数据的最长储存期限、服务器中数据的最大存储空间等,您可根据自己的需要自行备份本项目中的相关数据。
(3)如果您退出本项目,大疆可以从服务器上永久地删除您的数据,DJI没有义务向您返还任何数据。
4.2【禁止行为】
4.2.1您在参与本项目时不得从事以下行为,包括但不限于:
(1)发布、传送、传播、储存违反国家法律、危害国家安全统一、社会稳定、公序良俗、社会公德以及侮辱、诽谤、淫秽、暴力的内容;
(2)发布、传送、传播、储存侵害他人名誉权、肖像权、知识产权、商业秘密等合法权利的内容;
(3)虚构事实、隐瞒真相以误导、欺骗他人;
(4)发表、传送、传播广告信息及垃圾信息;
(5)以测试为借口,利用漏洞进行破坏、损害用户利益的行为,包括但不限于利用漏洞盗取用户资料、隐私及虚拟财产;
(6)利用漏洞攻击DJI的系统,造成系统宕机或者失效;
(7)利用漏洞或者在测试过程中置公众安全于不顾,严重影响飞行安全或者公开空域安全的行为;
(8)利用安全漏洞实施恐吓、敲诈或恶意夸大漏洞影响,引起公众恐慌;
(9)有害或者结果不可控的安全测试行为;
(10)不负责任的漏洞披露、恶意传播漏洞;
(11)未妥善保管漏洞测试过程中的数据,导致DJI蒙受损失;
(12)从事其他违反法律法规、政策及公序良俗、社会公德等的行为。
4.2.2除非法律允许或DJI书面许可,您不得从事下列行为:
(1)删除DSRC网站上关于著作权的信息;
(2)对本项目进行反向工程、反向汇编、反向编译,或者以其他方式尝试发现的源代码;
(3)对DJI拥有知识产权的内容进行使用、出租、出借、复制、修改、链接、转载、汇编、发表、出版、建立镜像站点等;
(4)对本项目运行所必需的系统数据,进行复制、修改、增加、删除、挂接运行或创作任何衍生作品,形式包括但不限于使用插件、外挂或非DJI授权的第三方工具/服务接入;
(5)通过修改或伪造本项目运行中的指令、数据,增加、删减、变动软件的功能或运行效果,或者将用于上述用途的软件、方法进行运营或向公众传播,无论这些行为是否为商业目的;
(6)自行、授权他人或利用第三方软件对本项目的组件、模块、数据等进行干扰;
(7)在漏洞测试过程中下载DJI的代码和数据;
(8)其他违反法律法规规定、侵犯其他用户合法权益、干扰产品正常运营或未经大疆明示授权、许可或违反本协议及相关协议、规则的行为。
您理解并同意:若您违反前述约定、本协议或相关法规政策,DJI有权不经您同意而直接终止您加入本项目。若由于DJI按照前述约定终止您对本项目的参加而对您产生影响或任何损失的,您同意不追究大疆的任何责任或不向大疆主张任何权利。
4.3【对自己行为负责】
您充分了解并同意,您必须为自己注册账号下的一切行为负责。您应对加入本项目时接触到的内容自行加以判断,并承担因使用内容而引起的所有风险,包括因对内容的正确性、完整性或实用性的依赖而产生的风险。DJI无法且不会对您因前述风险而导致的任何损失或损害承担责任。
4.4【违约处理】
如果DJI发现或收到他人举报您有违反本协议约定的,DJI有权不经通知随时对相关内容进行删除、屏蔽,并采取包括但不限于暂停、中止、终止您参与本项目、追究法律责任等措施。
4.5【对第三方损害的处理】
您违反本协议约定,导致任何第三方损害或索赔的,您应当独立承担责任;大疆、大疆关联公司或大疆合作单位因此遭受损失的,您也应当一并赔偿。

五、【DJI的权利和义务】

5.1 DJI供与本项目有关的技术支持,并负责DSRC网站的正常运行和维护。
5.2 DJI有权对您提交的漏洞信息和个人信息进行调查与核实,并在调查处理完毕后向您的账号及通讯设备发送相关处理结果。但并不因为DJI的调查和审核,而减轻您对其提交的信息的完整性、真实性、合法性的保证责任,由此产生的一切责任和后果仍由您单独承担。如DJI对您提供的信息的完整性、真实性、合法性存在任何疑问时,DJI有权发出通知要求您做出解释、改正,DJI亦有权不通知而直接做出终止您参与本项目、冻结账号等处理。
5.3 您因参与本项目而与其他人或任何第三方产生纠纷的,由您自行处理并承担所有责任。
5.4 如DJI发现或收到他人举报报告者存在违反本协议规定或相关法律法规、政策的,有权向报告者核实有关情况,限制报告者活动,发出警告通知以及终止该报告者参与本项目。

六、【DSRC网站的更新】

6.1 DJI有权不经向您特别通知而对DSRC网站进行更新,或者对部分功能效果进行改变或限制。
6.2 新版本发布后,旧版本的排他可能无法使用。大疆不保证旧版本功能继续可用,请您随时核对并使用最新版本。

七、【第三方提供的产品或服务】

您在使用第三方提供的产品或服务时,除遵守本协议约定外,还应遵守第三方的用户协议。大疆和第三方对可能出现的纠纷在法律规定和约定的范围内各自承担责任。大疆不保证通过第三方提供服务及内容的安全性、准确性、有效性及其他不确定的风险,由此若引发的任何争议及损害,与大疆无关,大疆不承担任何责任。

八、【知识产权声明】

8.1 大疆是本项目的知识产权权利人。本项目的著作权、商标权、专利权、商业秘密等知识产权,以及与本项目相关的所有信息内容(包括但不限于文字、图片、音频、视频、图表、界面设计、版面框架、有关数据或电子文档等)均受中华人民共和国法律法规和相应的国际条约保护,大疆依法享有上述相关知识产权,但相关权利人依照法律规定应享有的权利除外。
8.2 未经大疆或相关权利人书面同意,您不得为任何商业或非商业目的自行或许可任何第三方实施、利用、转让上述知识产权。

九、【安全责任】

9.1 您理解并同意,本排他同大多数互联网软件、排他一样,可能会受多种因素影响(包括但不限于网络服务质量、社会环境等);也可能会受各种安全问题的侵扰(包括但不限于他人非法利用报告者资料,进行现实中的骚扰;报告者下载安装的其他软件或访问的其他网站中可能含有病毒、木马程序或其他恶意程序,威胁您的信息和数据的安全,继而影响本项目的正常运行等)。因此,您应加强信息安全及个人信息的保护意识,注意密码保护,以免遭受损失。
9.2 您不得制作、发布、使用、传播用于窃取注册账号及他人个人信息、财产的恶意程序。
9.3 维护本项目安全与正常使用是大疆和您的共同责任,大疆将按照行业标准合理审慎地采取必要技术措施保护您的终端信息和数据安全,但是您承认和同意大疆不能就此提供任何保证。

十、【第三方软件或技术】

本项目可能会使用第三方软件或技术,大疆将按照相关法规或约定,对相关的协议或其他文件,可能通过本协议附件、在软件安装包特定文件夹中打包等形式进行展示,它们可能会以“软件使用许可协议”、“授权协议”、“开源代码许可证”或其他形式来表达。前述通过各种形式展现的相关协议或其他文件,均是本协议不可分割的组成部分,与本协议具有同等的法律效力,您应当遵守这些要求。如果您没有遵守这些要求,该第三方或者国家机关可能会对您提起诉讼、罚款或采取其他制裁措施,并要求大疆给予协助,您应当自行承担法律责任。

十一、【本项目的变更、中止或终止】

11.1 您理解并同意:大疆有权自主决定经营策略,有权在无需通知您的情况下随时对本项目进行变更、修改,以及中断、中止或终止。若由此给您造成损失的,您同意放弃追究大疆的责任。
11.2 您理解并同意:本协议约定的其他中止或终止条件发生或实现的,大疆有权随时中止或终止您对本项目的全部或部分参与。
11.3 您理解并同意:如本协议或本项目因为任何原因终止的,对于您账号中的全部数据或您因参与本项目而存储在大疆服务器中的数据等任何信息,大疆可将该等信息保留或删除,包括本项目终止前您尚未完成的任何数据,您同意不追究大疆的任何责任或不向大疆主张任何权利。

十二【免责】

12.1 您理解并同意:大疆有权定期或不定期地对本项目下的相关设备进行检修、维护、升级等,此类情况可能会造成相关功能在合理时间内中断或暂停的,若由此给您造成损失的,您同意放弃追究大疆的责任。
12.2 您理解并同意:本项目是按照现有技术和条件所能达到的现状设计的,大疆不能保证本项目毫无瑕疵,也无法随时预见和防范法律、技术以及其他风险,包括但不限于不可抗力、病毒、木马、黑客攻击、系统不稳定、第三方服务瑕疵、政府行为等原因可能导致的本项目中断、数据丢失以及其他的损失和风险。所以您也同意:即使本项目存在瑕疵,但上述瑕疵是当时行业技术水平所无法避免的,其将不被视为大疆违约,同时,由此给您造成的数据或信息丢失等损失的,您同意放弃追究大疆的责任。
12.3 您理解并同意:在参与本项目的过程中,可能会遇到不可抗力等风险因素,使本项目发生中断。不可抗力是指不能预见、不能克服并不能避免且对一方或双方造成重大影响的客观事件,包括但不限于自然灾害如洪水、地震、瘟疫流行和风暴等以及社会事件如战争、动乱、政府行为等。出现上述情况时,大疆将努力在第一时间与相关单位配合,及时进行修复,若由此给您造成损失的,您同意放弃追究大疆的责任。
12.4 您理解并同意:若由于以下情形导致本项目中断或受阻,给您造成损失的,您同意放弃追究大疆的责任:
(1)受到计算机病毒、木马或其他恶意程序、黑客攻击的破坏;
(2)您或大疆的电脑软件、系统、硬件和通信线路出现故障;
(3)您操作不当;
(4)您通过非大疆授权的方式参与本项目;
(5)其他大疆无法控制或合理预见的情形。

十三、【未成年人使用条款】

13.1 若您未满 18 周岁,则为未成年人,应在监护人监护、指导下阅读本协议和参与本项目。
13.2 监护人、学校均应对未成年人参与本项目时多做引导。特别是家长应关心子女的成长,注意与子女的沟通,指导子女上网应该注意的安全问题,防患于未然。

十四、【其他】

14.1 您参与本项目即视为您已阅读并同意受本协议的约束。大疆有权在必要时修改本协议条款。您可以在DSRC网站上查阅本协议的最新版本。本协议条款变更后,如果您继续参与本项目,即视为您已接受修改后的协议。如果您不接受修改后的协议,应当停止参与本项目。
14.2 本协议签订地为中华人民共和国广东省深圳市南山区。
14.3 本协议的成立、生效、履行、解释及纠纷解决,适用中华人民共和国大陆地区法律(不包括冲突法)。
14.4 在漏洞报告处理过程中,如果您对流程处理、漏洞定级、漏洞评分等有异议,您可以通过向bugbounty@dji.com发送标题为【DJI漏洞处理异议】的邮件与DJI工作人员进行沟通。您有任何关于本项目的意见和建议,均可通过bugbounty@dji.com邮箱进行反馈。
14.5若您和大疆之间发生任何纠纷或争议,首先应友好协商解决;协商不成的,您同意将纠纷或争议提交本协议签订地有管辖权的人民法院管辖。
14.6 本协议所有条款的标题仅为阅读方便,本身并无实际涵义,不能作为本协议涵义解释的依据。
14.7 本协议条款无论因何种原因部分无效或不可执行,其余条款仍有效,对双方具有约束力。

大疆公司

V1.3,更新于2022年7月28日