Поле Policy:

Что это?

Директива Policy: - это необязательное поле, содержащее ссылку на вашу Политику Раскрытия Уязвимостей (Vulnerability Disclosure Policy, VDP). Это документ, который описывает "правила игры" для исследователей безопасности

Зачем это нужно?

Четкая политика защищает и вас, и исследователей. Она устанавливает ожидания и предотвращает недопонимание. В VDP вы можете указать:

• Область действия (Scope): Какие ваши сайты, приложения и системы можно тестировать, а какие - нельзя
• Правила: Что можно делать (например, неагрессивное сканирование), а что запрещено (DDoS-атаки, социальная инженерия)
• Вознаграждения (Bug Bounty): Предлагаете ли вы плату за найденные уязвимости и по каким критериям
• Юридические гарантии (Safe Harbor): Заявление о том, что вы не будете преследовать в судебном порядке исследователей, которые действуют в рамках установленных правил. Это крайне важный пункт для привлечения специалистов

Формат и официальные правила (RFC 9116)

• Поле Policy: является необязательным
• Вы можете указать несколько таких полей
• Значение должно быть валидным и общедоступным URL

Примеры использования

Ссылка должна вести на страницу, где четко и ясно изложены все пункты вашей политики

Policy: https://example.com/security-policy

Policy: https://bugcrowd.com/example-corp/vdp