ज़िम्मेदार प्रकटीकरण नीति
भेद्यता की रिपोर्ट करना
सुरक्षा भेद्यताओं के लिए सार्वजनिक GitHub issue न खोलें।
ईमेल द्वारा रिपोर्ट करें:
security@trigger.fishकृपया शामिल करें:
- विवरण और संभावित प्रभाव
- पुनर्उत्पादन के चरण या प्रमाण अवधारणा
- प्रभावित संस्करण या घटक
- सुझाया गया उपचार, यदि कोई हो
प्रतिक्रिया समयरेखा
| समयरेखा | कार्य |
|---|---|
| 24 घंटे | प्राप्ति की पावती |
| 72 घंटे | प्रारंभिक मूल्यांकन और गंभीरता वर्गीकरण |
| 14 दिन | फ़िक्स विकसित और परीक्षित (क्रिटिकल/उच्च गंभीरता) |
| 90 दिन | समन्वित प्रकटीकरण विंडो |
दायरा
दायरे में
- Triggerfish core एप्लिकेशन
- सुरक्षा policy प्रवर्तन बायपास (वर्गीकरण, taint ट्रैकिंग, no-write-down)
- Plugin sandbox escapes
- प्रमाणीकरण या अधिकरण बायपास
- MCP Gateway सुरक्षा सीमा उल्लंघन
- Secrets रिसाव
- Prompt injection हमले जो सफलतापूर्वक निश्चयात्मक policy निर्णयों को प्रभावित करते हैं
दायरे से बाहर
- LLM व्यवहार जो निश्चयात्मक policy परत को बायपास नहीं करता
- Triggerfish द्वारा अनुरक्षित नहीं तृतीय-पक्ष skills या plugins
- सेवा अस्वीकृति हमले
- प्रदर्शित प्रभाव के बिना स्वचालित स्कैनर रिपोर्ट
सुरक्षित आश्रय
इस नीति के अनुसार किया गया सुरक्षा अनुसंधान अधिकृत है। हम उन शोधकर्ताओं के विरुद्ध कानूनी कार्रवाई नहीं करेंगे जो सद्भावना में भेद्यताओं की रिपोर्ट करते हैं।
PGP Key
यदि आपको अपनी रिपोर्ट एन्क्रिप्ट करने की आवश्यकता है, तो security@trigger.fish के लिए हमारी PGP key https://trigger.fish/.well-known/security.txt पर प्रकाशित है।