在 Silicon Labs,我們致力于與安全研究社區、客戶及合作伙伴開展協作,以負責任的態度及時發現并解決漏洞。作為通用漏洞披露編號機構 (CNA),Silicon Labs 遵循漏洞披露與管理的行業規范,確保整個流程的透明度與問責性。
本常見問題頁面旨在提供清晰指引,內容包括如何報告潛在安全問題、在披露流程中可預期的事項,以及我們如何處理漏洞披露。無論您是研究人員、開發人員還是客戶,我們都十分感謝您為助力我們維護安全生態系統所付出的努力。
報告漏洞
如需報告產品安全漏洞,請訪問 community.silabs.com 注冊并創建帳戶,然后點擊頁面右上角的“漏洞披露”選項卡,在下拉菜單中選擇“提交漏洞報告”選項。Alternately, you can also?email our PSIRT at?product-security@silabs.com. Please include a detailed description of the vulnerability, steps to reproduce it, and any supporting materials (e.g., proof-of-concept code) with every submission. 為確保通信安全,請使用我們的 PSIRT PGP 密鑰。我們鼓勵負責任地披露漏洞,并將在 3 個工作日內確認收到您的提交信息。
如需報告企業資產安全漏洞,請訪問 community.silabs.com 注冊并創建帳戶,然后點擊頁面右上角的“漏洞披露”選項卡,在下拉菜單中選擇“提交漏洞報告”選項。Alternately, you can also?email our ESIRT at?DL.Enterprise_Security@silabs.com. 請勿向我們的 PSIRT 發送電子郵件,因為該渠道專門用于處理產品安全漏洞。我們鼓勵負責任地披露漏洞,并將在 3 個工作日內確認收到您的提交信息。
請提供:?
- 對漏洞的清晰描述。
- 受影響的產品和版本。
- 重現問題的步驟。
- 潛在影響(例如數據泄露、系統受損)。
- 任何概念驗證代碼或屏幕截圖(如適用)。
- 您的后續聯系方式。
- 如需署名,可提供署名信息。
- 對于代碼漏洞,請指出漏洞文件的確切位置
這有助于我們的 PSIRT 快速評估并處理問題。
可以,我們接受匿名提交。但提供聯系信息將有助于我們就相關問題進行跟進澄清,并在適用情況下討論您參與漏洞賞金計劃的資格——該計劃將于 2026 年年初推出。
披露流程
披露: 我們會發布安全公告,向已訂閱的用戶告知該漏洞信息。如需了解如何訂閱安全公告通知,請點擊此處。
是的,我們遵循協同漏洞披露原則。我們會與報告者合作,在公開披露前驗證并修復漏洞,以更大限度降低對客戶的風險。我們力求在發布安全公告的同時,提供可用的修復方案。在某些情況下,可能無法發布修復方案。
Silicon Labs 安全公告一經發布,該公告不得通過留言板、社交媒體、即時通訊工具或其他非正式渠道傳播。然而,我們歡迎研究人員在其交流內容或出版物中引用已發布的通用漏洞披露 (CVE) 信息。
您可以在我們的社區門戶中查看以往發布的安全公告(需要登錄)。您可以根據產品類別篩選安全公告。關于本主題的更多詳細信息,可在此處查看。
您可在此處注冊,以便在新安全公告發布時接收電子郵件通知。您將能夠查看所有已發布的安全公告,但只有在訂閱通知時選擇的產品類別中有新公告發布時,才會收到通知。
漏洞賞金計劃
將于 2026 年推出
一般問題
我們的產品安全事件響應團隊 (PSIRT) 負責管理公司產品中安全漏洞的識別、評估與解決工作。我們會與研究人員、客戶及合作伙伴協作,以確保及時修復漏洞并開展透明溝通。
我們結合行業標準與內部評估來確定漏洞修復的優先級。我們采用通用漏洞評分系統 (CVSS) 4.0,這使我們能夠評估每個問題的嚴重程度。嚴重漏洞享有至高優先級,我們致力于在 90 天內完成其披露與修復工作。
是的,我們是 CNA(通用漏洞披露編號機構)。這讓我們能夠在適當時機為已確認的漏洞分配 CVE 編號,從而促進安全問題的公開披露。我們會在每份安全公告中包含相關的 CVE 編號。
我們高度重視數據隱私保護。漏洞報告會被保密處理、安全存儲,且僅與參與漏洞修復的團隊成員共享。請使用我們的 PSIRT PGP 密鑰進行加密提交。詳情請參閱我們的《安全漏洞披露政策》和《隱私聲明》。
