通报详情
您可直接透过电子邮件提交以下信息,来帮助我们尽速评估:
- 受影响的产品和软件版本
- 安全漏洞概述 (例如:缓冲区溢出、整数溢出等)
- 问题描述及影响 (例如:任意代码执行、信息泄漏等)
- 有关如何复现问题的说明指引
- 概念验证 (PoC)
请将安全报告提交至:security@airoha.com
漏洞发布
我们向客户发布产品安全漏洞与相关漏洞修补完成信息。这类信息通常会包含安全漏洞通报者之信息,除非该通报者另有请求。
常见问答集
-
达发科技多久内会解决安全漏洞的问题?
我们的目标是在90天内解决安全漏洞问题,并将其传达给我们的利害关系人。虽然我们致力符合这样的期限,但仍可能存在不可预见的因素,但我们将尽最大努力让您在适当时机知道最新状态。
-
我需要签署保密协议吗?
不需要。
-
我可以匿名提交漏洞报告吗?
可以,如果您希望保持匿名,我们尊重您的隐私。我们仅需您的电子邮件让我们可以回复即可,不需要您的姓名或其它个人可识别信息,之后若有任何进一步沟通,我们也不会记录您的身份。
-
达发科技如何评级漏洞等级?
达发科技目前基于通用漏洞评分系统3.1版 (CVSS v3.1),对于已识别漏洞的严重性进行评级及评估。在特定的情况下,若有不在CVSS范围内的评估因素,我们将保留调整这些准则的权利。
-
我可以使用加密通讯来提交漏洞报告?
可以,请使用 我们的PGP Public Key 将已加密的漏洞报告提交至 security@airoha.com。
揭露政策
达发科技一向致力于设计和提供安全可靠的创新产品。我们相信让客户可以安心使用达发科技的产品至关重要,客户数据之机密性和完整性可藉由包括但不限于提供实时的信息、指引和修复产品漏洞得到保护。为了最大限度地提升分析、修复和揭露与我们产品相关的安全漏洞之效率,我们敦促安全研究人员遵循本漏洞揭露政策(下称「VDP」)来提交您所发现的安全漏洞报告。
安全漏洞报告提交原则
- 安全漏洞须与达发科技之技术有关。
- 安全问题须达发科技尚未知悉且仅限与达发科技沟通。
- 于安全漏洞尚未揭露期间,所有与该安全问题相关之信息都必须保密。
- 应诚信地努力避免侵犯隐私、破坏产品生态环境、及毁坏或窜改数据。
- 安全漏洞提交可能额外受到适用法律的限制。
- 您的测试不应违反任何法律,也不得破坏或影响任何不属于您的数据或数据。此安全漏洞揭露政策符合一般漏洞揭露惯例,不允许以任何违反法律或可能导致违反法律义务的方式行事。
- 我们保留自行决定提交资格的权利。
您可以预期
- 我们致力于收到首次报告后的3到5个工作日内响应,若您于提交首次报告一周后仍没有收到我们的回复,请再次提交给我们。
- 我们会尽最大努力解决安全漏洞,包括但不限于在90天内向我们的OEM合作伙伴提供修补程序,并视情形必要时与利害关系人进行沟通。
安全漏洞严重程度
达发科技目前基于通用安全漏洞评分系统3.1版 (CVSS v3.1),对于已识别之安全漏洞的严重性进行分级与评估。在特定情况下,若有不在CVSS范围内的评估因素,我们将保留调整这些准则的权利。
免责声明
我们保留权利未经通知可随时修改或更新本VDP及相关之安全漏洞揭露流程。其它法律要点请参阅 法律声明与隐私权政策。