安全漏洞披露政策
如果您发现漏洞,请通过 Silabs 社区页面提交错误。
Silicon Laboratories Inc.(“Silicon Labs”、“我们”或“我们的”)期待与安全社区合作查找漏洞,保证我们的业务和客户安全无虞。
在 Silicon Labs,产品与基础设施的安全是我们业务运营的重中之重。为了引领安全的物联网技术,Silicon Labs 认识到安全研究人员在保护组织、客户和用户安全方面发挥的重要作用。我们相信,与技术娴熟的安全研究人员合作对于识别和纠正任何技术的弱点至关重要。如果您发现我们的产品、服务或基础设施存在潜在的安全漏洞,请立即向我们报告。我们期待与您合作,并尽最大努力快速解决问题。
漏洞沟通
客户、Silicon Labs 员工、研究人员或其他利益相关方可能会报告产品或软件中存在的漏洞或可疑功能。如果怀疑存在安全漏洞,请在我们的社区注册帐户并选择“漏洞披露”选项卡。请仔细阅读报告漏洞页面的内容,了解提交漏洞的分步说明。报告将由 Silicon Labs 接收,Silicon Labs PSIRT/ESIRT 团队将收到您提交的报告通知。报告的确认和 bug 的分类将遵循我们的目标响应时间。有关如何订阅安全通知的信息,请点击此处。
响应目标
Silicon Labs 将尽合理努力为该计划的参与者满足以下 SLA:
| 响应类型 | ESIRT SLA(以工作日计) | PSIRT SLA(以工作日计) |
|---|---|---|
| 首次响应 | 3 天 | 3 天 |
| 分类时间 | 15 天 | 15 天 |
| 解决时间 | 取决于严重程度和复杂性 | 取决于严重程度和复杂性 |
披露政策
- 作为参与条件,您同意在未经 Silicon Labs 明确同意的情况下,不会讨论此计划,或在计划之外披露任何漏洞(即使是已解决的漏洞)。
计划准则
为保护我们公司、客户和用户,您必须接受并遵守以下准则:
- 未经 Silicon Labs 事先书面许可,不得向任何第三方披露潜在的安全问题。
- 报告必须提供足够的细节和可重复的步骤。如果报告不够详细,无法重现报告的问题,则问题可能不会被标记为已分类。
- 每份报告只有一个漏洞,除非需要将漏洞链接起来以提供影响。
- 如果收到重复报告,将仅对收到的第一份报告进行分类(前提是可以完全复制)。
- 由一个潜在问题引起的多个漏洞将被视为一个有效的报告。
- 请确保您的研究符合所有相关法律法规。仅针对 Silicon Labs 产品及网站开展研究,并遵守其条款与条件(例如社区使用条款、主服务许可协议、销售条款与条件)以及所有公开公布的政策、指南和说明。
- 避免侵犯隐私、破坏数据以及中断或降级我们的服务。仅与您所拥有的帐户或帐户持有人明确许可的帐户进行交互。
- 切勿参与任何拒绝服务的行为。
- 请勿我们的客户或潜在客户发送任何垃圾邮件。
- 请勿参与 Silicon Labs 员工或承包商的社会工程(包括网络钓鱼)。
- 请勿参与针对 Silicon Labs 财产或数据中心的任何物理尝试。
- 请勿造成损害。及时报告漏洞并为公共利益采取行动;未经许可不得利用他人。如果您确认存在漏洞(例如,已完成概念验证)或接触到敏感数据(包括个人信息、财务信息、专有信息或商业秘密信息),请立即停止研究并上报。请勿访问、复制、修改、存储、传输或进一步探究相关数据。上报后请立即删除您持有的所有此类信息。
- 报告提交后,Silicon Labs 承诺将及时确认所有报告的收悉(在提交后三个工作日内),并会通过本计划向您合理通报所报告漏洞经确认后的处理状态。
- 您授予我们出于任何目的使用您的报告内容的权利。
- 提交报告不会在您与 Silicon Labs 之间建立消费者、雇佣或代理关系。
- Silicon Labs 可能会不时更新本政策。
Web 资产的范围外漏洞
报告漏洞时,请考虑 (1) 攻击场景/可利用性,以及 (2) 漏洞的安全影响。以下问题被视为超出范围:
- 在没有敏感操作的页面上点击劫持。
- 未经身份验证的表格或无敏感操作的表格上的跨站点请求伪造 (CSRF)。
- 需要 MITM 或物理访问用户设备的攻击。
- 以前已知的易受攻击的库,没有有效的概念证明。
- 逗号分隔值文件格式 (CSV) 注入,但没有显示出漏洞。
- SSL/TLS 缺少配置中的最佳实践。
- 任何可能导致我们的服务 (DoS) 中断的活动。
- 内容欺骗和文本注入问题没有显示攻击向量/无法修改 HTML/CSS。
- 对非身份验证端点的限制或暴力问题。
- 缺少内容安全政策中的最佳实践。
- Cookie 上缺少 HttpOnly 或安全标志。
- 缺少电子邮件最佳实践(SPF/DKIM/DMARC 记录无效、不完整或缺失等)。
- 漏洞仅影响过时或未修补浏览器的用户[比最新发布的稳定版本晚了不到 2 个稳定版本]。
- 软件版本披露/横幅识别问题/描述性错误消息或标题(例如堆栈踪迹、应用程序或服务器错误)。
- 标签钓鱼
- 打开重定向 - 除非可以证明额外的安全影响。
- 需要不太可能的用户交互的问题。
安全港
根据本政策规定的限制和准则开展的任何活动将被视为授权行为,我们不会对您采取法律行动。如果第三方就根据本政策开展的活动对您提起法律诉讼,我们将采取措施,告知您的行为符合本政策。
漏洞赏金计划
将于 2026 年推出
供研究人员使用的资源
| 参考标题 | 链接 | 宗旨 |
|---|---|---|
| 社区链接 | https://community.silabs.com/s/ | 技术支持参考资料 |
| 用户项目页面 | https://community.silabs.com/s/all-blogs?language=en_US | 各类项目及时间线相关博客 |
| 订购套件 | https://www.silabs.com/development-tools https://www.silabs.com/products/buy-sample |
如何订购测试套件 |
感谢您帮助 Silicon Labs 和我们的用户保持安全!
