Supabase 项目安全测试
Supabase 客户渗透测试支持政策
Supabase 客户允许对其托管的 Supabase 项目组件进行安全评估或渗透测试。对于允许的服务下列出的客户服务,此类测试可在无需事先批准的情况下进行。Supabase 不允许托管可能被视为恶意或针对 Supabase 客户及外部服务攻击活动组成部分的安全工具。本条款受 Supabase 可接受使用政策 (AUP) 约束。
客户有责任确保测试活动符合本政策。任何超出政策范围的测试将被视为直接针对 Supabase 的测试,并可能被标记为滥用行为。如果 Supabase 收到与您安全测试相关的滥用报告,我们将把这些报告转发给您。如果您在 Supabase 任何产品中发现安全问题,请立即联系 Supabase 安全团队。
此外,Supabase 通过 HackerOne 运行漏洞披露计划 (VDP),外部安全研究人员可报告在该计划范围内发现的任何漏洞。客户渗透测试不属于此 VDP 的组成部分。
允许的服务
- 认证服务
- 数据库
- 边缘函数
- 存储服务
- 实时服务
https://<customer_project_ref>.supabase.co/*https://db.<customer_project_ref>.supabase.co/*
禁止的测试与活动
- 任何违反 AUP 中列明的活动
- 拒绝服务(DoS)和分布式拒绝服务(DDoS)测试
- 跨租户攻击,即直接针对非客户控制下的其他 Supabase 客户账户、组织和项目的测试
- 请求洪泛攻击
条款与条件
客户同意以下条款:
安全测试: