LabRat 接受协调漏洞披露,不另行收取安全更新费用,保留发布证据与 SBOM;除非依法适用并记录更短的预期寿命,分发产品默认按至少五年支持期规划。
范围与安全维护
LabRat 监测自有代码、依赖、认证、租户边界、更新路径及构成产品组成部分的远程处理。支持版本会按风险完成漏洞分级、修复、测试与用户指引,不会仅为迫使用户购买无关新功能而扣留安全修复。
云端 Web 与 Worker 由运营方持续更新;移动应用通过相应分发渠道提供签名更新;Local Runtime 与 CLI 通过已说明的安装渠道,以带签名或可校验完整性的替换版本交付。
支持期与上线门槛
在上线规划中,LabRat 分发产品默认自首次进入欧盟市场起提供至少五年支持;只有记录的预期使用期更短且适用的《网络韧性法案》评估允许时,才可采用更短期间。预期使用期更长时支持期也应更长。购买或下载时必须清晰展示具体的结束年月。
支持期内发布的安全更新,自发布起至少保留十年,或保留至剩余支持期结束,以更长者为准;如原分发渠道受合法限制,应提供等效归档或替换路径。
更新交付与用户通知
- 安全更新不另行收取安全更新费用。
- 技术上可行时,安全修复与无关功能更新分开提供。
- 需要用户采取的重要操作、临时缓解或停止支持信息,会根据风险通过产品、公共网站、发布渠道或适当的账号联系渠道告知。
- 适合消费者安全的场景会采用自动更新;如提供退出选项,会清晰说明。
- 发布记录保留受影响版本、严重性、测试、产物身份、部署或商店版本、通知及回滚/缓解信息。
报告漏洞
请向公开安全联系人发送受影响界面与版本、复现步骤、影响和安全联系方式。仅提供最小化证明,不要访问他人工作台或保留不必要数据。LabRat 会确认可信报告,协调合理披露窗口,并在可行时提供处理状态。
支持版本与临时缓解
托管服务支持当前线上部署版本。对于分发软件,最新正式版本是主要支持线;在法律要求且技术可行时,旧版本可免费迁移到最新重大修改版本。安全公告会列出受影响与已修复版本及临时缓解。
不受支持的历史软件、非官方构建、修改客户端及第三方操作系统不属于产品支持承诺,但影响受支持 LabRat 组件的漏洞仍会根据具体事实分级处理。
停止支持通知与记录
支持结束前,LabRat 会通过可用产品或账号渠道清晰通知,并说明结束年月、受影响版本、迁移或导出路径、剩余安全风险和可用后继版本。技术文档、风险评估、SBOM、漏洞决定、安全更新与发布证据按法定期间保留。