安全漏洞披露策略

目的

本文档的目的是描述与Silicon Lab产品相关的安全事件的处理和披露方面的期望和限制。

范围

本文档适用于以下场景:

  • 最新发现的与Silicon Labs产品有关的安全漏洞,在已发布的文档/论坛中还没有涉及beplay这款软件靠不靠谱
  • 以意想不到的方式使用或访问的Silicon Lab附属品(文档或产品)

缩写/定义

  • PCN -产品变更通知
  • PSIRT -产品安全事件响应小组
  • RFI -信息请求

责任

  • 客户,研究人员——报告硅实验室的可疑漏洞beplay这款软件靠不靠谱
  • 销售,fae -从客户处收集信息和相关的漏洞细节
  • beplay全方位手机娱乐平台应用程序-评估和确认与安全问题相关的再现性

报告漏洞

脆弱的沟通

客户、Silicon Labs员工、研究人员或其他相关方可能会报告产品或软件中的漏洞或可疑功能。beplay这款软件靠不靠谱

此外,将始终指定至少一名PSIRT成员订阅CERT和CVE安全提要,并持续监控这些提要,以发现可能影响Silicon Labs产品的漏洞,并将这些漏洞提供给PSIRT进程。beplay这款软件靠不靠谱

当怀疑要发送的电子邮件存在安全漏洞时product-security@silabs.com.PSIRT将在收到调查结果后72小时内发出确认。报告内容应包括:

  • 显示漏洞的产品
  • 产品应用程序/用法总结
  • 再现/导致问题的步骤和/或环境

PSIRT将使用可用的PGP/GPG密钥,以安全方式与报告实体就该问题进行进一步对话在这里

PSIRT过程

PSIRT与其他硅实验室小组合作,包括应用程序、开发人beplay这款软件靠不靠谱员、销售和市场部门,评估报告的漏洞,执行技术分析并确定适当的beplay全方位手机娱乐平台响应。解决漏洞的关键过程包括:

  • 分类:这涉及到PSIRT和报告实体、应用程序支持团队以及工程设计团队之间的积极对话,以确定需要什么来重现漏洞。beplay全方位手机娱乐平台
  • 技术分析和处理:包括基于问题的评估和/或复制对安全漏洞有效性的实际确认。确认漏洞的范围、影响或严重程度,以及解决方案或处置决定。这可能包括修复、变通或接受已识别的漏洞。
  • 产出:超出报告实体的披露程度将取决于漏洞的严重性和范围。

研究人员期望

当研究人员与PSIRT联系以解决发现的漏洞问题时,期望PSIRT和研究人员之间进行合作以评估问题。从那里,PSIRT在Silicon Labs内部工作,以确定解决/解beplay这款软件靠不靠谱决问题的最佳行动方案。如果有必要讨论分析问题所需的机密信息,PSIRT将提供一份由研究人员和PSIRT共同签署的保密协议,以确保所讨论的信息是保密的。

随着问题的解决,PSIRT会让研究人员在目标时间框架内更新,以发布修复程序以及发布安全建议。希望研究人员和PSIRT在与他人共享漏洞的目标时间框架上达成某种协议。研究人员通常会在Silicon Labs发布的安全建议中得到认可。beplay这款软件靠不靠谱在硅实验室里没有漏洞悬赏计划。beplay这款软件靠不靠谱

公开声明

beplay这款软件靠不靠谱Silicon Labs打算为客户提供与我们产品相关的最新和准确的安全相关文档。有多种方法披露与安全相关的更新,包括:

  • PCNs -产品变更通知
  • 发布说明-随软件发布而提供的文档
  • 直接客户沟通 - 通过销售或现场应用工程师进行通信
  • 安全建议-有关安全问题和建议采取的行动的技术摘要

以上通知类型可于以下网址报名www.nepsole.com客户配置文件设置。

使用产品,客户必须遵循规定的操作规范,以确保功能正常。如果出现报告的安全问题,硅实验室将分析细节以评估对硅实验室产品或软件的影响,确定相关的技术beplay这款软件靠不靠谱原因,并提供适当的分辨率和/或披露。

beplay这款软件靠不靠谱如果出于安全或可靠性的原因,Silicon Labs保留调整(软件/硬件)产品的权利。关于漏洞的信息共享可以采取发布说明、pcn、公告、应用程序说明和/或faq的形式。

有关条款及条件或特定于产品的免责内容的详细信息,请访问www.nepsole.com/terms。如欲查询无法在www.nepsole.com上获得的产品相关内容,可通过我们的授权销售渠道

关闭
加载的结果
关闭
Baidu