作为一款面向全球用户的应用程序，Hapio每周都会收到来自各路安全研究人员的众多报告。其中许多报告指出了类似的问题，虽然我们没有正式的漏洞赏金计划，但有些研究人员仅因联系我们，便偶尔会期待获得报酬。

我们高度重视每一份安全报告，并确保对每份提交的内容进行彻底审查。然而，作为全球舞台上的新晋参与者，我们必须正视资源有限的现实。处理安全报告所耗费的每一小时，都是无法用于为用户提升Hapio平台体验的时间。鉴于此，我们决定调整处理安全问题的做法。

自2024年12月起，我们将实施一项更明确的政策，以区分与我们域名相关的举报。 做出这一决定的理由很简单：hapio.io 网站与支撑 hapio.app 和 hapio.net 平台的技术是独立运行的。虽然我们充分理解保护 hapio.io 网站免受黑客攻击、篡改或欺骗等潜在威胁的重要性，但我们的首要重点始终是确保 Hapio.app 门户和 Hapio.net 预订 API 的安全与可靠性，这些服务旨在为我们的尊贵客户提供支持。

Hapio.io 报道

与 hapio.io 域名及其相关技术有关的报告被归类为低优先级。虽然这些提交内容将会得到审核，但处理过程可能会有所延迟。请注意，针对 hapio.io 的报告不会发放奖金，因为在适当的背景下评估后，大多数发现并不属于关键问题。

我们鼓励研究人员关注影响重大的漏洞，而非仅依赖Snyk、OpenVAS或Nikto等自动化工具生成的结果——这些工具通常会标记一些虽值得注意但并不构成严重威胁的问题。

我们始终致力于维护面向公众的网站的安全，并感谢为提升网站安全性做出贡献的研究人员。

Hapio.app 和 Hapio.net 的报道

关于 hapio.app 和 hapio.net 域名以及支撑该平台的技术的相关报告将被列为最高优先级，提交的内容将得到及时审核。

• 建议进行验证：
  为了最大限度提高问题被采纳的几率，我们建议您在提交报告前，先使用 Hapio 的免费版本确认该问题可复现且符合漏洞标准。
• 不提供现金奖励：
  目前我们不提供任何现金奖励。

认可与信任

我们深知，信任是研究人员与企业之间关系的核心。为了确保评估的公正性，我们将与独立专家合作，共同评估漏洞的严重程度，并确定报告的适当级别。这种做法使我们能够维护透明度和公信力。

我们通过非金钱奖励的方式认可研究人员的贡献，例如将具有重大影响的披露案例纳入我们的“名人堂”。虽然我们无法保证提交报告一定能获得金钱奖励，但我们致力于认可那些有助于保障我们系统安全的贡献。

投稿指南

为简化流程并确保及时响应，所有安全漏洞报告必须提交至 support@hapio.io。通过其他渠道发送的报告——例如客户支持表单、技术支持聊天、社交媒体、GitHub 或产品发现渠道——将不予处理，并可能被标记为垃圾邮件。

• 预计处理时限：
  我们力争在5个工作日内完成初步评估，对于被视为高优先级的报告，将在评估完成后72小时内发送确认通知。上述时限不作保证，可能会因实际情况和工作量而有所调整。
• 提交格式：
  请提供重现问题的详细步骤、支持该漏洞的证据以及潜在影响。提供这些信息有助于我们高效处理您的报告，并提高问题被采纳的可能性。
• 人工智能：
  如果您提交的报告是由人工智能工具（例如 ChatGPT、Claude、CoPilot、Perplexity）生成或辅助完成的，请如实说明，并明确指出人工智能的使用范围。 请注意，AI 工具有时可能会生成不准确或并不存在的漏洞。为确保提交内容的质量和准确性，请尽可能避免使用 AI 生成的内容，因为我们没有资源来验证低质量的 AI 生成提交内容。