Sicherheit
GERMAN Zugriffsbereitstellung
Kunden pflegen und verwalten ihre Benutzerbasis und stellen sicher, dass nur autorisierte Benutzer auf das Programm und Konto des Kunden zugreifen können. Weights & Biases bietet rollenbasierte Zugriffskontrollen (RBAC), um den Grad an Detailliertheit bereitzustellen, der häufig für eine ordnungsgemäße Zugriffsverwaltung erforderlich ist.
Sicherheitstests
Zur Datensicherung gehört es, sicherzustellen, dass Schwachstellen rechtzeitig erkannt und behoben werden. Weights & Biases verwendet eine Kombination aus regelmäßigen Schwachstellentests und Penetrationstests, um dieses Ziel zu erreichen.
Auditierung und Compliance
Weights & Biases unterhält ein ausgereiftes Audit- und Compliance-Programm durch ein internes Auditprogramm und nutzt einen externen Auditor. Weights & Biases ist SOC2- und HIPAA-konform.
Verschlüsselung
Die Datenverschlüsselung von Weights & Biases bietet robuste Funktionen zum Schutz Ihrer Daten während der Übertragung mit TLS 1.2+ und im Ruhezustand mit AES 256. So wird sichergestellt, dass Ihre Daten während ihres gesamten Lebenszyklus verschlüsselt sind.
Authentifizierung und Autorisierung
Kundendaten sicher und geschützt zu halten, ist tief in der DNA von Weights & Biases verankert. Angemessene Zugriffskontrollen sind Teil dieser Mission. Weights & Biases bietet mehrere Möglichkeiten zur Authentifizierung und Autorisierung, eine davon ist Single Sign On (SSO) mit OIDC, LDAP oder SAML.
Übersicht über das Bug-Bounty-Programm
Willkommen beim Weights & Biases Bug Bounty-Programm! Wir freuen uns, erfahrene Cybersicherheits-Enthusiasten und ethische Hacker einzuladen, gemeinsam mit uns die Sicherheit unserer Systeme zu stärken. Unser Programm bietet Ihnen die Möglichkeit, Ihr Fachwissen und Ihre Kreativität bei der Identifizierung von Schwachstellen in unserer digitalen Infrastruktur einzusetzen. Durch Ihre Teilnahme tragen Sie nicht nur zur Verbesserung unserer Sicherheitslage bei, sondern spielen auch eine entscheidende Rolle beim Schutz der Privatsphäre und Integrität der Daten unserer Benutzer. Unterstützen Sie uns bei unserer Mission, eine sicherere digitale Umgebung zu schaffen, und lassen Sie uns gemeinsam daran arbeiten, Fehler zu beseitigen und unsere Abwehrmaßnahmen zu stärken.
Umfang
Nur Ergebnisse für Domänen in diesem Geltungsbereich qualifizieren sich für eine Auszeichnung. Darüber hinaus sind Ergebnisse, die zuvor gemeldet und verfolgt wurden, nicht prämienberechtigt. https://qa.wandb.ai https://api.qa.wandb.ai Alle anderen Subdomänen sind vom Geltungsbereich ausgeschlossen.
Ausschlüsse vom Geltungsbereich
- Denial of Service (insbesondere Self-DoS-Probleme, bei denen nur der ausführenden Person der Dienst verweigert wird)
- Umgehung der Ratenbegrenzung, außer bei solchen mit direkten Auswirkungen auf die Sicherheit
- Fehlende DKIM/DMARC/SPF-DNS-Einträge auf Domänen, die keine E-Mails senden
- Clickjacking auf Seiten ohne sensible Aktionen
- Offene Umleitung, außer bei solchen mit direkten Auswirkungen auf die Sicherheit, wie z. B. das Senden von Authentifizierungstoken an eine beliebige Domäne
- Cross-Site Request Forgery (CSRF) auf nicht authentifizierten Formularen oder Formularen ohne sensible Aktionen
- Angriffe, die MITM oder physischen Zugriff auf das Gerät eines Benutzers erfordern
- Bisher bekannte anfällige Bibliotheken ohne funktionierenden Proof of Concept
- Fehlende Best Practices in der SSL/TLS-Konfiguration.
- Probleme mit Content-Spoofing und Text-Injection ohne Angabe eines Angriffsvektors oder ohne die Möglichkeit, HTML/CSS zu ändern
- Offenlegung der Softwareversion
- Defekter Link-Hijacking
Einsatzregeln
Wir bearbeiten und akzeptieren nur Qualitätsberichte, die Folgendes enthalten:
- Detaillierte Beschreibung des Problems mit klaren, reproduzierbaren Schritten
- Screenshots und/oder Videos, die einen Proof of Concept demonstrieren
- Auswirkungen der Sicherheitslücke
- Geben Sie in Ihrer E-Mail an das Sicherheitsteam in die Betreffzeile ein: Bug-Bounty-Programm Offenlegung: [Sicherheitslücke]
- Verwenden Sie während des Tests die User-Agent-Zeichenfolge: „bugbountyresearcher_<Ihr_Benutzername>“
- Erstellen Sie für Ihre Tests ein dediziertes Konto und geben Sie die E-Mail-Adresse/den Benutzernamen des Kontos in Ihrem Bericht an
- Führen Sie Tests nur mit Ihrem eigenen Konto durch
- Versuchen Sie nach bestem Wissen und Gewissen, Datenschutzverletzungen, Datenvernichtung oder Serviceverschlechterung zu vermeiden
Geheimhaltung
Personen, die Weights & Biases Schwachstellen melden, müssen eine Geheimhaltungsvereinbarung unterzeichnen. Das Sicherheitsteam von Weights & Biases stellt Ihnen eine Geheimhaltungsvereinbarung zur Unterschrift zur Verfügung.
Programmrichtlinien
- Verwenden Sie KEINE automatisierten Schwachstellenscanner/-tools
- Nutzen Sie Schwachstellen NICHT über einen Proof-of-Concept hinaus aus
- Führen Sie KEINE Denial-of-Service- oder Brute-Force-Angriffe durch
- Führen Sie KEINE Angriffe gegen unsere Mitarbeiter oder Endbenutzer durch, einschließlich Social Engineering und Phishing-Angriffe
- Lassen Sie während des Tests KEINE Testdaten durch die Infrastruktur von Drittanbietern laufen. Stellen Sie sicher, dass der gesamte Datenverkehr über Domänen läuft, über die nur Sie die Kontrolle haben. Das Aufdecken von Schwachstellen und vertraulichen Daten führt zum vollständigen Verlust jeglicher Belohnung.
- Wenn Sie im Laufe Ihrer Recherche auf Benutzerinformationen stoßen, die nicht Ihre eigenen sind, hören Sie bitte auf und melden Sie diese Aktivität unserem Team, damit wir sie untersuchen können. Speichern, kopieren, übertragen oder verwenden Sie diese Daten nicht anderweitig. Der fortgesetzte Zugriff auf die Daten einer anderen Person kann als Verstoß gegen unsere Verhaltensregeln angesehen werden.
Sanktionen gegen Länder oder Unternehmen
Personen, die an dem Programm teilnehmen, dürfen weder ihren Wohnsitz in einem Land haben, gegen das die Vereinigten Staaten Exportsanktionen oder andere Handelsbeschränkungen verhängt haben, noch dürfen sie ihre Einreichung von einem solchen Land aus vornehmen (z. B. Kuba, Iran, Nordkorea, Syrien, die Krim-Region oder eine andere Jurisdiktion oder Region, die vom Office of Foreign Assets Control des US-Finanzministeriums ausgewiesen wurde).
GERMAN Altersbeschränkungen
Forscher, die eine Schwachstelle melden möchten, dürfen nicht jünger als 16 Jahre sein – wenn Sie mindestens 16 Jahre alt sind, an Ihrem Wohnort aber als minderjährig gelten, müssen Sie vor der Teilnahme die Erlaubnis Ihrer Eltern oder Ihres Erziehungsberechtigten einholen.
Fehler melden
Schwachstellen können an security@wandb.com gemeldet werden.
- Geben Sie in die Betreffzeile Ihrer E-Mail an das Sicherheitsteam Folgendes ein: Bug-Bounty-Programm Offenlegung: [Schwachstelle]
- Weitere Einzelheiten zur Meldung finden Sie in den Einsatzregeln.
Stufen
Kopfgelder werden in die folgenden Stufen eingeteilt: Stufe 3: Fehler mit geringer Schwere (50–100 $)
- Self-XSS (XSS erfordert zur Ausnutzung eine andere Interaktion als das Browsen)
- Server-Fehlkonfiguration oder Bereitstellungsfehler
- Und andere Probleme mit geringer Schwere, wie von den Gewichten und der Biases Security Team
Stufe 2: Fehler mittlerer Schwere (100–300 $)
- XSS auf Seiten, auf die nur Mitglieder zugreifen können
- Cross-Site Request Forgery bei sensiblen Aktionen oder Funktionen (CSRF/XSRF)
- Und andere Probleme mittlerer Schwere, wie von Weights & bestimmt. Biases Security Team
Stufe 1: Fehler mit hohem Schweregrad (300–750 $)
- XSS auf Seiten, die ohne Anmeldung zugänglich sind
- Session Hijacking
- Exfiltration von Mitgliedsdaten
Stufe 0: Fehler mit kritischem Schweregrad (750–1000 $)
- SQL-Injection
- Remote-Codeausführung
- Berechtigungserweiterung
- SSRF an einen internen Dienst
Sicherheitsinformationen anfordern
Unterauftragsverarbeiter
Wenn Sie benachrichtigt werden möchten, wenn an dieser Unterauftragsverarbeiter-Seite Änderungen vorgenommen werden, füllen Sie bitte das Formular unter der Tabelle aus.
Unternehmen | Standort | Zusätzliche Details |
---|---|---|
AWS | USA oder nach Wahl des Kunden | Cloud-Hosting-Anbieter – IaaS |
Azure | USA oder nach Wahl des Kunden | Cloud-Hosting-Anbieter – IaaS |
GCP | USA oder nach Wahl des Kunden | Cloud-Hosting-Anbieter – IaaS |
Clickhouse | Vereinigte Staaten | Datenhosting-Anbieter für Weave |
Volkszählung | Vereinigte Staaten | Daten-ETL |
Datadog | Vereinigte Staaten oder nach Wahl des Kunden | Plattformüberwachung |
dbt Labs | Vereinigte Staaten | Daten-ETL |
FullStory | Vereinigte Staaten oder nach Wahl des Kunden | Sitzungsaufzeichnung |
Hex | Vereinigte Staaten | Analyseplattform |
Segment | Vereinigte Staaten | Analyseplattform |
Tableau | Vereinigte Staaten | Analyseplattform |