在 Silicon Labs,我們致力于與安全研究社區(qū)、客戶及合作伙伴開展協(xié)作,以負(fù)責(zé)任的態(tài)度及時(shí)發(fā)現(xiàn)并解決漏洞。作為通用漏洞披露編號(hào)機(jī)構(gòu) (CNA),Silicon Labs 遵循漏洞披露與管理的行業(yè)規(guī)范,確保整個(gè)流程的透明度與問責(zé)性。
本常見問題頁(yè)面旨在提供清晰指引,內(nèi)容包括如何報(bào)告潛在安全問題、在披露流程中可預(yù)期的事項(xiàng),以及我們?nèi)绾翁幚砺┒磁丁o論您是研究人員、開發(fā)人員還是客戶,我們都十分感謝您為助力我們維護(hù)安全生態(tài)系統(tǒng)所付出的努力。
報(bào)告漏洞
如需報(bào)告產(chǎn)品安全漏洞,請(qǐng)?jiān)L問 community.silabs.com 注冊(cè)并創(chuàng)建帳戶,然后點(diǎn)擊頁(yè)面右上角的“漏洞披露”選項(xiàng)卡,在下拉菜單中選擇“提交漏洞報(bào)告”選項(xiàng)。Alternately, you can also?email our PSIRT at?product-security@silabs.com. Please include a detailed description of the vulnerability, steps to reproduce it, and any supporting materials (e.g., proof-of-concept code) with every submission. 為確保通信安全,請(qǐng)使用我們的 PSIRT PGP 密鑰。我們鼓勵(lì)負(fù)責(zé)任地披露漏洞,并將在 3 個(gè)工作日內(nèi)確認(rèn)收到您的提交信息。
如需報(bào)告企業(yè)資產(chǎn)安全漏洞,請(qǐng)?jiān)L問 community.silabs.com 注冊(cè)并創(chuàng)建帳戶,然后點(diǎn)擊頁(yè)面右上角的“漏洞披露”選項(xiàng)卡,在下拉菜單中選擇“提交漏洞報(bào)告”選項(xiàng)。Alternately, you can also?email our ESIRT at?DL.Enterprise_Security@silabs.com. 請(qǐng)勿向我們的 PSIRT 發(fā)送電子郵件,因?yàn)樵撉缹iT用于處理產(chǎn)品安全漏洞。我們鼓勵(lì)負(fù)責(zé)任地披露漏洞,并將在 3 個(gè)工作日內(nèi)確認(rèn)收到您的提交信息。
請(qǐng)?zhí)峁?
- 對(duì)漏洞的清晰描述。
- 受影響的產(chǎn)品和版本。
- 重現(xiàn)問題的步驟。
- 潛在影響(例如數(shù)據(jù)泄露、系統(tǒng)受損)。
- 任何概念驗(yàn)證代碼或屏幕截圖(如適用)。
- 您的后續(xù)聯(lián)系方式。
- 如需署名,可提供署名信息。
- 對(duì)于代碼漏洞,請(qǐng)指出漏洞文件的確切位置
這有助于我們的 PSIRT 快速評(píng)估并處理問題。
可以,我們接受匿名提交。但提供聯(lián)系信息將有助于我們就相關(guān)問題進(jìn)行跟進(jìn)澄清,并在適用情況下討論您參與漏洞賞金計(jì)劃的資格——該計(jì)劃將于 2026 年年初推出。
披露流程
披露: 我們會(huì)發(fā)布安全公告,向已訂閱的用戶告知該漏洞信息。如需了解如何訂閱安全公告通知,請(qǐng)點(diǎn)擊此處。
是的,我們遵循協(xié)同漏洞披露原則。我們會(huì)與報(bào)告者合作,在公開披露前驗(yàn)證并修復(fù)漏洞,以更大限度降低對(duì)客戶的風(fēng)險(xiǎn)。我們力求在發(fā)布安全公告的同時(shí),提供可用的修復(fù)方案。在某些情況下,可能無法發(fā)布修復(fù)方案。
Silicon Labs 安全公告一經(jīng)發(fā)布,該公告不得通過留言板、社交媒體、即時(shí)通訊工具或其他非正式渠道傳播。然而,我們歡迎研究人員在其交流內(nèi)容或出版物中引用已發(fā)布的通用漏洞披露 (CVE) 信息。
您可以在我們的社區(qū)門戶中查看以往發(fā)布的安全公告(需要登錄)。您可以根據(jù)產(chǎn)品類別篩選安全公告。關(guān)于本主題的更多詳細(xì)信息,可在此處查看。
您可在此處注冊(cè),以便在新安全公告發(fā)布時(shí)接收電子郵件通知。您將能夠查看所有已發(fā)布的安全公告,但只有在訂閱通知時(shí)選擇的產(chǎn)品類別中有新公告發(fā)布時(shí),才會(huì)收到通知。
漏洞賞金計(jì)劃
將于 2026 年推出
一般問題
我們的產(chǎn)品安全事件響應(yīng)團(tuán)隊(duì) (PSIRT) 負(fù)責(zé)管理公司產(chǎn)品中安全漏洞的識(shí)別、評(píng)估與解決工作。我們會(huì)與研究人員、客戶及合作伙伴協(xié)作,以確保及時(shí)修復(fù)漏洞并開展透明溝通。
我們結(jié)合行業(yè)標(biāo)準(zhǔn)與內(nèi)部評(píng)估來確定漏洞修復(fù)的優(yōu)先級(jí)。我們采用通用漏洞評(píng)分系統(tǒng) (CVSS) 4.0,這使我們能夠評(píng)估每個(gè)問題的嚴(yán)重程度。嚴(yán)重漏洞享有至高優(yōu)先級(jí),我們致力于在 90 天內(nèi)完成其披露與修復(fù)工作。
是的,我們是 CNA(通用漏洞披露編號(hào)機(jī)構(gòu))。這讓我們能夠在適當(dāng)時(shí)機(jī)為已確認(rèn)的漏洞分配 CVE 編號(hào),從而促進(jìn)安全問題的公開披露。我們會(huì)在每份安全公告中包含相關(guān)的 CVE 編號(hào)。
我們高度重視數(shù)據(jù)隱私保護(hù)。漏洞報(bào)告會(huì)被保密處理、安全存儲(chǔ),且僅與參與漏洞修復(fù)的團(tuán)隊(duì)成員共享。請(qǐng)使用我們的 PSIRT PGP 密鑰進(jìn)行加密提交。詳情請(qǐng)參閱我們的《安全漏洞披露政策》和《隱私聲明》。
