产品安全

Tesla(特斯拉)珍视安全研究人员为提高我们的产品和服务安全性所做的工作。我们致力于与该团体密切合作,以便核实、复制并回应合法报告的漏洞。我们鼓励该团体参与我们的合理报告流程。如欲注册成为经过预审的善意安全研究人员,并将车辆注册为注册研究用车,请将请求提交至 VulnerabilityReporting@tesla.com

车辆或能源产品

虽然 Bugcrowd 是我们所有事宜的奖励平台,但对于车辆和能源产品相关的问题,请直接发送电子邮件至 vulnerability@tesla.com,并使用我们的 PGP 密钥对含有敏感信息的报告进行加密。

第三方漏洞

倘若报告至我们漏洞奖励计划的问题涉及到第三方程序库、外部项目或其他供应商,那么 Tesla(特斯拉)保留将问题详细信息转发给相关方的权利,而无需与相关研究人员就此进行商议。在此过程中,我们将尽最大努力与研究人员协作、沟通。

合理披露指南

我们将对合规报告进行调查,并尽全力快速更正任何漏洞。为鼓励合理报告行为,如您遵守以下合理披露指南,我们承诺不会采取法律手段或请求执法机关对您进行调查:

  • 提供漏洞的详情,包括复制和验证漏洞的必要信息以及概念验证 (POC)。对于任何影响注册研究用车未装载的功能的漏洞,必须在找到漏洞后的 168 个小时零分钟(7 天)内完成报告。
  • 努力避免侵犯隐私、破坏数据或干扰或降低我们的服务。
  • 不可修改或访问他人数据。
  • 在公开信息之前给为 Tesla(特斯拉)解决问题留出合理的时间。
  • 修改范围仅限于您拥有或有权进入的车辆。
  • 不可降低车辆的安全性,或将他人置于不安全的境地。
  • 安全搜索作业仅限于信息娱乐系统二进制安全机制、网关二进制文件、Tesla 研发的电子控制单元以及能源产品。

为免生疑虑:

  • 如果因为您(作为经过预审的善意安全研究人员)的善意安全搜索行为而引发软件问题,且该软件问题导致您的注册研究用车需要被更新或“刷新”,作为善意之举,Tesla (特斯拉)将在合理的范围内通过空中更新对注册研究用车上的 Tesla(特斯拉)软件进行更新或“刷新”,在服务中心使用标准服务工具协助修复车辆软件,或采取我们认为合理的其他措施。对于所提供的软件或其他辅助服务,Tesla(特斯拉)完全享有自由裁量权,并且此类服务的次数可能会有限制。Tesla (特斯拉)的支持性服务不包括您支出的任何付现费用(如牵引服务)。Tesla 保留随时对每位经预审的善意安全研究人员的服务请求次数设定限制,以及注销注册研究用车的权利。
  • Tesla(特斯拉)认为,遵照此政策访问研究用车或能源产品上的计算机的经过预审的善意安全研究人员,不存在《计算机欺诈及滥用法案(CFAA)》中规定的未经授权或超出授权范围访问计算机的情况。
  • 对于规避安全机制的、经预审的善意安全研究人员,只要该研究人员未访问其他代码或二进制文件,Tesla (特斯拉)将不会依照《数字千年版权法》对其提起著作权侵权之诉。
  • 对于因善意安全研究人员善意安全搜索而造成的注册研究用车上的软件更改,Tesla 不认为该等软件更改会导致注册研究用车的车辆质量保证失效。但是,任何因软件更改而导致的车辆损坏均不在 Tesla(特斯拉)车辆质量保证承保范围内。

Tesla(特斯拉)安全研究人员名人堂

Tesla(特斯拉)感谢安全研究人员的卓越贡献,希望予以表彰。如果您是第一位报告已确认漏洞的研究人员,我们将把您的名字列入名人堂(除非您想保持匿名)。在一个日历季度里,如果您作为第一位报告人的漏洞获评三大已确认漏洞之一,您还可能会受到奖励。您必须遵守我们的合理披露指南(见上文),方可进入名人堂和赢取三项大奖。

2018 UnicornTeam Jun Li (@bravo_fighter), Qing Yang (@Ir0nSmith), Yingtao Zeng, Chaoran Wang
2017 Keen Security Lab Tencent for CVE-2017-9983 and CVE-2017-6261
2016 Keen Security Lab Tencent
  Skygo Team,
USSlab
Qihoo360,
Zhejiang University
2014 Eusebiu Blindu @testalways
  Muhammed Gazzaly @gazly
  Jianhao Liu Qihoo 360 Adlab
  Jiaheng Wang Zhejiang University
  Yanjing Wu Zhejiang University
  Wenyuan Xu Zhejiang University
  Nitesh Bhatter @nbhatter
2013 Jaime Manteiga  
  Anshuman Bhartiya @anshuman_bh
  Nitin Goplani @nitingoplani88
  Issam Rabhi @yappare
  Ahmad Ashraff  
  Phil Purviance @superevr
  Michael  
  Jon Bitquark Security Research
  Jack "fin1te" W  
  Ch. Muhammad Osama  
  Arsiadi Sriyanto @donrookie
  Nikhil Kumar Srivastava @niksthehacker
  Muhammad Shahmeer
Maads Security
@Shahmeer_Amir
  Olivier Beg @smiegles
  Ashar Javed @soaj1664ashar
  Jay Turla HP Fortify
  Haris Mamoun  
  Mehmet Ince @mmetince