大疆 Bug Bounty 项目使用协议


欢迎您加入大疆Bug Bounty项目(以下简称“本项目”),本项目及大疆安全应急响应中心(以下简称“DSRC”)由深圳市大疆创新科技有限公司(以下简称“大疆”或“DJI”)发起设立,旨在提升产品与业务系统的信息安全水平。大疆高度重视信息安全,并充分认可安全研究者及安全社区在推动DJI安全能力提升方面的重要价值。DJI鼓励安全研究者报告大疆产品或服务中存在的安全漏洞。对于确认有效的漏洞,我们将根据漏洞质量给予相应的感谢和奖励。


您应当阅读并遵守《大疆Bug Bounty项目使用协议》(以下简称“本协议”)。本协议是向大疆提交大疆公司产品和服务的漏洞的您(以下简称“您”或“报告者”)与大疆之间订立的关于加入大疆Bug Bounty项目的使用协议,请您务必审慎阅读、充分理解各条款内容,特别是免除或者限制责任的条款、管辖与法律适用条款,以及开通或使用某项服务的单独协议。限制、免责条款可能以黑体加粗的形式提示您重点注意。


除非您已阅读并接受本协议所有条款,否则您无权加入本项目。您加入本项目并向DJI提交漏洞即视为您已阅读并同意接受本协议、大疆公司隐私权政策及新发布的关于本项目的相关协议、业务规则等的约束。


如果您未满 18 周岁,请在法定监护人的陪同下阅读本协议和参与本项目。


DJI承诺对每一位报告者反馈的问题都有专人负责跟进、反馈、分析和处理,并及时给予答复。DJI恪守并支持负责任的漏洞报告流程,尊重每一位报告者的研究成果。DJI始终将用户利益放在第一位,并尽最大努力保护DJI用户的利益。


一、项目详情

1.1 参与本项目的资格条件
您承诺您符合以下参与本项目的资格条件:
(1)您不是DJI及其关联公司的正式员工或正式员工直系亲属、外协员工或DJI过去6个月内有合作关系的供应商、合作伙伴相关人员;
(2)您不属于受所适用出口管制法律法规规定的任何禁运国家或受限制主体;
(3)您应当遵从您雇主或者所在组织的相关政策,以确保您有资格参加本计划,如果您违反您所在公司的政策参加漏洞奖励计划,需要您自行承担造成的一切后果。


1.2 您通过本项目收集的漏洞是您以研究为目的测试本协议中确定的范围过程中发现的相关漏洞,在您同意并遵守本协议条款及履行保密义务的前提下,大疆授权您在不影响被测试、评估系统、软件、设备等正常运行、不危害大疆用户隐私、网络安全的情况下,以测试和评估系统安全性为目的收集漏洞。


1.3 漏洞报告流程

漏洞报告流程


1.4 您进入DSRC https://security.dji.com 后可根据相关指引提交大疆公司产品和服务的漏洞。DJI 将对您提交的漏洞进行评估,若被认定为安全漏洞,DJI将给予每个漏洞至少350人民币的奖励,DJI会从前述奖励金中扣除个人所得税(如有)。


1.5 符合要求并且高质量的漏洞报告将会加快DJI 漏洞评估的进程,同时加快您获得奖金的进程。高质量的报告要求:
1. 提供详细的漏洞细节描述,包括:
(1)复现漏洞的详细步骤。
(2)非破坏性的漏洞POC(比如:对于RCE漏洞,运行"hello world")。
2. 提供详细的测试环境信息,包括:
(1)漏洞涉及的URL/APP 、代码片段等。
(2)对于产品设备类漏洞,请提供设备的型号、版本号等信息。
(3)请保留测试时的数据,并且作为报告附件提交。

您理解并同意:缺少上述信息可能会导致DJI评估漏洞困难,进而影响对您的响应及奖励发放事宜。


1.6 您提交的漏洞范围包括:
(1)域名:dji.com、dji.net、djicdn.com、djivideos.com、djiservice.org、djiag.com、skypixel.com、robomaster.com、djiits.com。
(2)APP: DJI Fly、DJI Mimo、DJI Ronin、畅片、DJI Pilot、大疆农服APP、Avinox、大疆行业APP。
(3)在DJI安全维护周期内的相关产品。

您理解并同意:DJI不接受对于停止销售或者已经官方宣布不再支持的产品或服务的漏洞反馈,DJI不接受关于第三方产品或服务的漏洞反馈。


1.7 在对漏洞进行评级时,DJI 将主要考虑以下几个因素:
(1)可能泄漏的数据的敏感程度及数量;
(2)漏洞的易利用程度;
(3)对DJI用户造成损失的可能性及总体风险;
(4)DJI产品或者服务器的受影响范围;

您理解并同意,在对漏洞进行评级时,下列因素不在DJI的考虑范围:
(1)您在漏洞挖掘过程中投入的时间成本;
(2)您为了漏洞挖掘所购买DJI产品的花费;
(3)已被DJI所知晓的漏洞;
(4)其他不能明确漏洞影响或者严重程度的因素。


1.8 漏洞评级标准及奖励
DJI将向满足以下条件的漏洞报告者发放奖金,以表示对漏洞报告者的感谢:
(1)漏洞的第一报告者。
(2)DJI 安全团队认定漏洞确实存在并且能够对DJI环境产生实际安全影响。
(3)漏洞报告者接受并遵守所有的条款。

漏洞评级标准:《WEB 系统漏洞评级标准》 《产品设备及APP漏洞评级标准》


1.9 您理解并同意:在必要的情况下,大疆有权要求您提供包括但不限于如下个人信息资料(如果您不提供相关信息,DJI可能无法安排奖金支付事宜):
(1)姓名,系您正在使用的公民身份证、护照以及其他有效身份证件载明的姓名。
(2)证件号码:您有效身份证件的编号。
(3)移动电话:您本人的正在使用的移动电话号码。
(4)联系地址:您本人常住的住所地址或有效的通讯地址。


1.10 关于漏洞的披露,您必须遵循以下要求:
(1)不在未获得DJI许可的情况下向他人披露有关漏洞的任何细节;
(2)获得DJI的许可后,在披露过程中不公布用户数据、用户隐私或DJI服务器地址等可能损害DJI及用户合法权益的信息;
(3)必须客观、真实描述漏洞的影响,任何夸大漏洞影响、煽动用户、恶意制造恐慌的行为将会受到追究;
(4)任何访问、下载、传播DJI 源码或者数据的行为可能触犯法律,并且DJI保留追究的权利。


1.11 您在参与本项目过程中提供的个人信息资料必须是完整的、真实的、有效的,大疆对您提供的个人信息资料仅进行书面的、形式的审查,大疆并没有能力验证、核实您个人信息资料的真实性;因您违反本条款导致在本项目中产生的任何不利于您的后果均由您自行承担。


二、报告者行为规范

2.1 【禁止行为】您在参与本项目时不得从事以下行为,包括但不限于:
(1)虚构事实、隐瞒真相以误导、欺骗他人;
(2)发表、传送、传播广告信息及垃圾信息;
(3)以测试为借口,利用漏洞进行破坏、损害用户利益的行为,包括但不限于利用漏洞盗取用户资料、隐私及虚拟财产;
(4)利用漏洞攻击DJI的系统,造成系统宕机或者失效;
(5)利用漏洞或者在测试过程中置公众安全于不顾,严重影响飞行安全或者公开空域安全的行为;
(6)利用安全漏洞实施恐吓、敲诈或恶意夸大漏洞影响,引起公众恐慌;
(7)有害或者结果不可控的安全测试行为;
(8)不负责任的漏洞披露、恶意传播漏洞;
(9)未妥善保管漏洞测试过程中的数据,导致DJI蒙受损失;
(10)影响大疆产品和服务的正常运行,侵害大疆产品和服务的用户隐私和数据安全,危害网络安全;
(11)从事其他违反法律法规、政策及公序良俗、社会公德等的行为。


2.2 除非法律允许或DJI书面许可,您不得从事下列行为:
(1)删除DSRC网站上关于著作权的信息;
(2)对本项目进行反向工程、反向汇编、反向编译,或者以其他方式尝试发现的源代码;
(3)对DJI拥有知识产权的内容进行使用、出租、出借、复制、修改、链接、转载、汇编、发表、出版、建立镜像站点等;
(4)对本项目运行所必需的系统数据,进行复制、修改、增加、删除、挂接运行或创作任何衍生作品,形式包括但不限于使用插件、外挂或非DJI授权的第三方工具/服务接入;
(5)通过修改或伪造本项目运行中的指令、数据,增加、删减、变动软件的功能或运行效果,或者将用于上述用途的软件、方法进行运营或向公众传播,无论这些行为是否为商业目的;
(6)自行、授权他人或利用第三方软件对本项目的组件、模块、数据等进行干扰;
(7)在漏洞测试过程中下载DJI的代码和数据;
(8)其他违反法律法规规定、侵犯其他用户合法权益、干扰产品正常运营或未经大疆明示授权、许可或违反本协议及相关协议、规则的行为。

您理解并同意:若您违反前述约定、本协议或相关法规政策,DJI有权不经您同意而直接终止您加入本项目且DJI无需承担任何责任。


2.3 您是以研究和测试为目的进行漏洞发现和收集活动,基于诚信原则提交漏洞信息,并确保您是依据您自身所拥有的知识和技能,通过合法正当的方式和途径发现该漏洞信息的存在,您保证您所提交的漏洞信息所包含的全部权利为合法。


2.4 在进行漏洞收集、测试过程中,不得非法侵入大疆网络、干扰大疆产品和服务的正常功能、窃取用户数据等;不得提供专门用于侵入大疆网络、干扰大疆产品和服务正常功能、窃取用户数据等的程序和工具;并不得为他人从事上述危害活动提供技术支持等帮助。


2.5 您充分理解并同意本项目的某些功能可能会让DJI以外的组织或个人知晓您的某些信息,例如:您在DSRC网站上的昵称、排名等。您应了解本部分的信息公开和透露可能会给您带来潜在风险,并自行承担由此造成的风险。


2.6 您充分理解并同意:大疆可能会对您在本项目中的相关操作信息等进行使用,也可能通过第三方提供的服务向您本人、其他用户展示您的相关信息。大疆也可能会基于安全因素,收集、使用您在DSRC网站上的相关操作行为等信息。


2.7 您违反本协议约定,导致任何第三方损害或索赔的,您应当独立承担责任。


2.8 您在使用第三方提供的产品或服务时,除遵守本协议约定外,还应遵守第三方的用户协议。大疆和第三方对可能出现的纠纷在法律规定和约定的范围内各自承担责任。


三、DJI的权利与义务

3.1 DJI有权对您提交的漏洞信息和个人信息进行调查与核实,并在调查处理完毕后向您的账号及通讯设备发送相关处理结果。但并不因为DJI的调查和审核,而减轻您对其提交的信息的完整性、真实性、合法性的保证责任,由此产生的一切责任和后果仍由您单独承担。如DJI对您提供的信息的完整性、真实性、合法性存在任何疑问时,DJI有权发出通知要求您做出解释、改正,DJI亦有权不通知而直接做出终止您参与本项目、冻结账号等处理。


3.2 如DJI发现或收到他人举报报告者存在违反本协议规定或相关法律法规、政策的,有权向报告者核实有关情况,限制报告者活动,发出警告通知以及终止该报告者参与本项目。


3.3 DJI尊重您的个人信息,将会采取必要的、合理的措施保护您的个人信息,除用于受理、评判和处理您提交的漏洞、法律或有法律赋予权限的有关部门要求或您同意等原因外,DJI未经您的同意不向第三方公开或透露您提交的本协议第1.9条所指的个人信息。


3.4 大疆有权向您展现各种信息,包括但不限于新闻信息及宣传信息等。


四、知识产权

作为参与本计划的前提条件,您特此授予大疆及关联公司和客户关于您所发现漏洞的永久的、不可撤销的、全世界范围内的、可转让的、可转授权的许可,大疆及其关联公司和客户可以使用、出售、复制、改编、修改、发布、分发、公开演绎、创建您提交给我们的漏洞的衍生作品及其他方式来使用上述许可。


五、保密

5.1【保密信息的定义】本协议所称“保密信息”是指您获取的任何与漏洞有关的信息、任何DJI用户信息或DJI专属信息,该等信息包括但不限于您递交的漏洞、DJI的SSL证书和密钥、DJI的源代码或其他专有编程指令代码、DJI用户的身份信息和飞行记录以及被依法披露之前任何与漏洞有关的信息,无论其是否具有商业价值或是否采取保密措施。


5.2 无论在本协议期限内还是本协议终止后,您对保密信息均负有严格的保密义务。您保证,该保密信息只用于本协议的目的,不得用于其他任何目的。未经大疆事先书面授权,您不得自行使用,或以任何方式向第三方披露、转让、许可使用、交换、赠与或与任何其他第三方共同或以任何其他方式使用该等保密信息。


5.3 您提交给大疆的关于大疆的所有漏洞相关信息均负有严格的保密义务,出于DJI系统安全保护的需要,未经大疆书面同意和事先审核,禁止向任何第三方披露,包括但不限于漏洞名称,漏洞分类,漏洞所在模块,漏洞形成原因,漏洞利用思路,POC及漏洞细节(如反汇编代码片段等)等与漏洞相关的一切信息,除非大疆已经公开披露或者法律要求您进行披露。在大疆通知您漏洞修复前,请不要以任何形式讨论漏洞。在相关漏洞被修复后,您可以参与关于该漏洞的讨论,但请事先经过大疆同意并在漏洞修复30天后再进行公开讨论。


六、第三方软件或技术

本项目可能会使用第三方软件或技术,大疆将按照相关法规或约定,对相关的协议或其他文件,可能通过本协议附件、在软件安装包特定文件夹中打包等形式进行展示,它们可能会以“软件使用许可协议”、“授权协议”、“开源代码许可证”或其他形式来表达。前述通过各种形式展现的相关协议或其他文件,均是本协议不可分割的组成部分,与本协议具有同等的法律效力,您应当遵守这些要求。如果您没有遵守这些要求,该第三方或者国家机关可能会对您提起诉讼、罚款或采取其他制裁措施,并要求大疆给予协助,您应当自行承担法律责任。


七、本项目的变更、中止或终止

您理解并同意:大疆有权自主决定经营策略,有权在无需通知您的情况下随时对本项目进行变更、修改,以及中断、中止或终止。如本协议或本项目因为任何原因终止的,对于您账号中的全部数据或您因参与本项目而存储在大疆服务器中的数据等任何信息,大疆可将该等信息(包括本项目终止前您尚未完成的任何数据)保留或删除且无需承担责任。


八、免责

8.1 DJI将努力保障您在本项目中的数据存储安全,但是,并不能就此提供完全保证,包括但不限于以下情形:
(1)DJI不对您在本项目中相关数据的删除或储存失败负责;
(2)DJI有权根据实际情况自行决定您在本项目中数据的最长储存期限、服务器中数据的最大存储空间等,您可根据自己的需要自行备份本项目中的相关数据;
(3)如果您退出本项目,大疆可以从服务器上永久地删除您的数据,DJI没有义务向您返还任何数据。


8.2 您理解并同意:大疆有权定期或不定期地对本项目下的相关设备进行检修、维护、升级等,此类情况可能会造成相关功能在合理时间内中断或暂停。


8.3 您理解并同意:本项目是按照现有技术和条件所能达到的现状设计的,大疆不能保证本项目毫无瑕疵,也无法随时预见和防范法律、技术以及其他风险,包括但不限于不可抗力、病毒、木马、黑客攻击、系统不稳定、第三方服务瑕疵、政府行为等原因可能导致的本项目中断、数据丢失以及其他的损失和风险。即使本项目存在瑕疵,但上述瑕疵是当时行业技术水平所无法避免的,其将不被视为大疆违约,大疆无需承担任何责任。


8.4 您理解并同意:若由于以下情形导致本项目中断或受阻,给您造成损失的,您自行承担责任:
(1)您的电脑软件、系统、硬件和通信线路受到计算机病毒、木马或其他恶意程序、黑客攻击的破坏,或出现故障;
(2)您操作不当;
(3)您通过非大疆授权的方式参与本项目;
(4)其他大疆无法控制或合理预见的情形。


九、违约责任

如您违反本协议,大疆有权要求您退还项目奖金,将您移出《大疆安全贡献者名单》,取消未来参与项目资格,单方终止本协议并要求您赔偿因此给大疆造成的一切损失。


十、其他

10.1 DJI有权不经向您特别通知而对DSRC网站进行更新,或者对部分功能效果进行改变或限制新版本发布后,旧版本可能无法使用。大疆不保证旧版本功能继续可用,请您随时核对并使用最新版本。


10.2 本协议的成立、生效、履行、解释及纠纷解决,适用中华人民共和国大陆地区法律(不包括冲突法)。若您和大疆之间发生任何纠纷或争议,首先应友好协商解决;协商不成的,您同意将纠纷或争议提交深圳市南山区有管辖权的人民法院管辖。


10.3 在漏洞报告处理过程中,如果您对流程处理、漏洞定级、漏洞评分等有异议或有任何关于本项目的意见和建议,您可以通过向bugbounty@dji.com发送标题为【DJI漏洞处理异议】的邮件与DJI工作人员进行沟通。


10.4 本协议条款无论因何种原因部分无效或不可执行,其余条款仍有效,对双方具有约束力。


大疆公司
V1.5,更新于2025年7月18日

我已阅读并同意此协议