關於達發

通报安全漏洞

公司簡介

通报详情

您可直接透过电子邮件提交以下信息,来帮助我们尽速评估:

  • 受影响的产品和软件版本
  • 安全漏洞概述 (例如:缓冲区溢出、整数溢出等)
  • 问题描述及影响 (例如:任意代码执行、信息泄漏等)
  • 有关如何复现问题的说明指引
  • 概念验证 (PoC)

请将安全报告提交至:security@airoha.com

漏洞发布

我们向客户发布产品安全漏洞与相关漏洞修补完成信息。这类信息通常会包含安全漏洞通报者之信息,除非该通报者另有请求。

常见问答集

  • 达发科技多久内会解决安全漏洞的问题?

    我们的目标是在90天内解决安全漏洞问题,并将其传达给我们的利害关系人。虽然我们致力符合这样的期限,但仍可能存在不可预见的因素,但我们将尽最大努力让您在适当时机知道最新状态。

  • 我需要签署保密协议吗?

    不需要。

  • 我可以匿名提交漏洞报告吗?

    可以,如果您希望保持匿名,我们尊重您的隐私。我们仅需您的电子邮件让我们可以回复即可,不需要您的姓名或其它个人可识别信息,之后若有任何进一步沟通,我们也不会记录您的身份。

  • 达发科技如何评级漏洞等级?

    达发科技目前基于通用漏洞评分系统3.1版 (CVSS v3.1),对于已识别漏洞的严重性进行评级及评估。在特定的情况下,若有不在CVSS范围内的评估因素,我们将保留调整这些准则的权利。

  • 我可以使用加密通讯来提交漏洞报告?

    可以,请使用 我们的PGP Public Key 将已加密的漏洞报告提交至 security@airoha.com

揭露政策

达发科技一向致力于设计和提供安全可靠的创新产品。我们相信让客户可以安心使用达发科技的产品至关重要,客户数据之机密性和完整性可藉由包括但不限于提供实时的信息、指引和修复产品漏洞得到保护。为了最大限度地提升分析、修复和揭露与我们产品相关的安全漏洞之效率,我们敦促安全研究人员遵循本漏洞揭露政策(下称「VDP」)来提交您所发现的安全漏洞报告。

安全漏洞报告提交原则

  • 安全漏洞须与达发科技之技术有关。
  • 安全问题须达发科技尚未知悉且仅限与达发科技沟通。
  • 于安全漏洞尚未揭露期间,所有与该安全问题相关之信息都必须保密。
  • 应诚信地努力避免侵犯隐私、破坏产品生态环境、及毁坏或窜改数据。
  • 安全漏洞提交可能额外受到适用法律的限制。
  • 您的测试不应违反任何法律,也不得破坏或影响任何不属于您的数据或数据。此安全漏洞揭露政策符合一般漏洞揭露惯例,不允许以任何违反法律或可能导致违反法律义务的方式行事。
  • 我们保留自行决定提交资格的权利。

您可以预期

  • 我们致力于收到首次报告后的3到5个工作日内响应,若您于提交首次报告一周后仍没有收到我们的回复,请再次提交给我们。
  • 我们会尽最大努力解决安全漏洞,包括但不限于在90天内向我们的OEM合作伙伴提供修补程序,并视情形必要时与利害关系人进行沟通。

安全漏洞严重程度

达发科技目前基于通用安全漏洞评分系统3.1版 (CVSS v3.1),对于已识别之安全漏洞的严重性进行分级与评估。在特定情况下,若有不在CVSS范围内的评估因素,我们将保留调整这些准则的权利。

免责声明

我们保留权利未经通知可随时修改或更新本VDP及相关之安全漏洞揭露流程。其它法律要点请参阅 法律声明与隐私权政策

为增进此网站功能,我们将在您的装置上传送Cookies功能。当您继续浏览本网站,我们将视同您已同意使用Cookies,详见 隐私权政策

我接受