通報詳情
您可直接透過電子郵件提交以下資訊,來幫助我們盡速評估:
- 受影響的產品和軟件版本
- 安全漏洞概述 (例如:緩衝區溢出、整數溢出等)
- 問題描述及影響 (例如:任意代碼執行、資訊洩漏等)
- 有關如何復現問題的說明指引
- 概念驗證 (PoC)
請將安全報告提交至:security@airoha.com
漏洞發佈
我們向客戶發佈產品安全漏洞與相關漏洞修補完成資訊。這類資訊通常會包含安全漏洞通報者之資訊,除非該通報者另有請求。
常見問答集
-
達發科技多久內會解決安全漏洞的問題?
我們的目標是在90天內解決安全漏洞問題,並將其傳達給我們的利害關係人。雖然我們致力符合這樣的期限,但仍可能存在不可預見的因素,但我們將盡最大努力讓您在適當時機知道最新狀態。
-
我需要簽署保密協議嗎?
不需要。
-
我可以匿名提交漏洞報告嗎?
可以,如果您希望保持匿名,我們尊重您的隱私。我們僅需您的電子郵件讓我們可以回覆即可,不需要您的姓名或其它個人可識別資訊,之後若有任何進一步溝通,我們也不會記錄您的身份。
-
達發科技如何評級漏洞等級?
達發科技目前基於通用漏洞評分系統3.1版 (CVSS v3.1),對於已識別漏洞的嚴重性進行評級及評估。在特定的情況下,若有不在CVSS範圍內的評估因素,我們將保留調整這些準則的權利。
-
我可以使用加密通訊來提交漏洞報告?
可以,請使用 我們的PGP Public Key 將已加密的漏洞報告提交至 security@airoha.com。
揭露政策
達發科技一向致力於設計和提供安全可靠的創新產品。我們相信讓客戶可以安心使用達發科技的產品至關重要,客戶數據之機密性和完整性可藉由包括但不限於提供即時的資訊、指引和修復產品漏洞得到保護。為了最大限度地提升分析、修復和揭露與我們產品相關的安全漏洞之效率,我們敦促安全研究人員遵循本漏洞揭露政策(下稱「VDP」)來提交您所發現的安全漏洞報告。
安全漏洞報告提交原則
- 安全漏洞須與達發科技之技術有關。
- 安全問題須達發科技尚未知悉且僅限與達發科技溝通。
- 於安全漏洞尚未揭露期間,所有與該安全問題相關之資訊都必須保密。
- 應誠信地努力避免侵犯隱私、破壞產品生態環境、及毀壞或竄改數據。
- 安全漏洞提交可能額外受到適用法律的限制。
- 您的測試不應違反任何法律,也不得破壞或影響任何不屬於您的資料或數據。此安全漏洞揭露政策符合一般漏洞揭露慣例,不允許以任何違反法律或可能導致違反法律義務的方式行事。
- 我們保留自行決定提交資格的權利。
您可以預期
- 我們致力於收到首次報告後的3到5個工作日內回應,若您於提交首次報告一週後仍沒有收到我們的回覆,請再次提交給我們。
- 我們會盡最大努力解決安全漏洞,包括但不限於在90天內向我們的OEM合作夥伴提供修補程式,並視情形必要時與利害關係人進行溝通。
安全漏洞嚴重程度
達發科技目前基於通用安全漏洞評分系統3.1版 (CVSS v3.1),對於已識別之安全漏洞的嚴重性進行分級與評估。在特定情況下,若有不在CVSS範圍內的評估因素,我們將保留調整這些準則的權利。
免責聲明
我們保留權利未經通知可隨時修改或更新本VDP及相關之安全漏洞揭露流程。其它法律要點請參閱 法律聲明與隱私權政策。