安全漏洞披露政策
如果您发现漏洞,请通过我们的提交页面提交错误
Silicon Laboratories Inc.(“Silicon Labs”、“我们”或“我们的”)期待与安全社区合作查找漏洞,保证我们的业务和客户安全无虞。
在 Silicon Labs,我们的产品和基础设施的安全性对我们的业务至关重要。为了引领安全的物联网技术,Silicon Labs 认识到安全研究人员在保护组织、客户和用户安全方面发挥的重要作用。我们相信,与技术娴熟的安全研究人员合作对于识别和纠正任何技术的弱点至关重要。如果您发现我们的产品、服务或基础设施存在潜在的安全漏洞,请立即向我们报告。我们期待与您合作,并尽最大努力快速解决问题。
漏洞沟通
客户、Silicon Labs 员工、研究人员或其他利益相关方可能会报告产品或软件中存在的漏洞或可疑功能。当怀疑存在安全漏洞时,请填写并提交表格。该报告将发送给 HackerOne,Silicon Labs PSIRT/ESIRT 团队将收到您提交的表格。报告的确认和 bug 的分类将遵循我们的目标响应时间。
有关如何订阅安全通知的信息,请点击此处。
响应目标
Silicon Labs 将尽合理努力为该计划的参与者满足以下 SLA:
| 响应类型 | ESIRT SLA(以工作日计) | PSIRT SLA(以工作日计) |
|---|---|---|
| 首次响应 | 3 天 | 3 天 |
| 分类时间 | 6 天 | 15 天 |
| 解决时间 | 取决于严重程度和复杂性 | 取决于严重程度和复杂性 |
披露政策
- 作为参与条件,您同意在未经 Silicon Labs 明确同意的情况下,不会讨论此计划,或在计划之外披露任何漏洞(即使是已解决的漏洞)。
- 此外,参与此计划,即表示您同意遵守 HackerOne 的披露准则。
计划准则
为保护我们公司、客户和用户,您必须接受并遵守以下准则:
- 未经 Silicon Labs 事先书面许可,不得向任何第三方披露潜在的安全问题。
- 报告必须提供足够的细节和可重复的步骤。如果报告不够详细,无法重现报告的问题,则问题可能不会被标记为已分类。
- 每份报告只有一个漏洞,除非需要将漏洞链接起来以提供影响。
- 如果收到重复报告,将仅对收到的第一份报告进行分类(前提是可以完全复制)。
- 由一个潜在问题引起的多个漏洞将被视为一个有效的报告。
- 避免侵犯隐私、破坏数据以及中断或降级我们的服务。仅与您所拥有的帐户或帐户持有人明确许可的帐户进行交互。
- 切勿参与任何拒绝服务的行为。
- 请勿我们的客户或潜在客户发送任何垃圾邮件。
- 请勿参与 Silicon Labs 员工或承包商的社会工程(包括网络钓鱼)。
- 请勿参与针对 Silicon Labs 财产或数据中心的任何物理尝试。
- 提交报告后,Silicon Labs 承诺及时确认收到所有报告(提交后三个工作日内),并合理地告知您通过此计划报告的任何已确认漏洞的状态。
- Silicon Labs 的第三方提供商接收和处理提交的报告。
- 您授予我们出于任何目的使用您的报告内容的权利。
- 提交报告不会在您与 Silicon Labs 之间建立消费者、雇佣或代理关系。
- 任何奖励的支付由 Silicon Labs 自行决定。
- Silicon Labs 可能会不时更新本政策。
- 参加此计划,即表示您同意遵守 HackerOne 的披露指南。
Web 资产的范围外漏洞
报告漏洞时,请考虑 (1) 攻击场景/可利用性,以及 (2) 漏洞的安全影响。以下问题被视为超出范围:
- 在没有敏感操作的页面上点击劫持。
- 未经身份验证的表格或无敏感操作的表格上的跨站点请求伪造 (CSRF)。
- 需要 MITM 或物理访问用户设备的攻击。
- 以前已知的易受攻击的库,没有有效的概念证明。
- 逗号分隔值文件格式 (CSV) 注入,但没有显示出漏洞。
- SSL/TLS 缺少配置中的最佳实践。
- 任何可能导致我们的服务 (DoS) 中断的活动。
- 内容欺骗和文本注入问题没有显示攻击向量/无法修改 HTML/CSS。
- 对非身份验证端点的限制或暴力问题。
- 缺少内容安全政策中的最佳实践。
- Cookie 上缺少 HttpOnly 或安全标志。
- 缺少电子邮件最佳实践(SPF/DKIM/DMARC 记录无效、不完整或缺失等)。
- 漏洞仅影响过时或未修补浏览器的用户[比最新发布的稳定版本晚了不到 2 个稳定版本]。
- 软件版本披露/横幅识别问题/描述性错误消息或标题(例如堆栈踪迹、应用程序或服务器错误)。
- 标签钓鱼
- 打开重定向 - 除非可以证明额外的安全影响。
- 需要不太可能的用户交互的问题。
安全港
根据本政策规定的限制和准则开展的任何活动将被视为授权行为,我们不会对您采取法律行动。如果第三方就根据本政策开展的活动对您提起法律诉讼,我们将采取措施,告知您的行为符合本政策。
Bug 赏金计划
Silicon Labs 与 HackerOne 合作,奖励对我们的基础设施和产品进行压力测试的道德黑客。
目前,Silicon Labs HackerOne 赏金计划仅采用邀请形式,这使我们能够优先考虑响应时间和报告质量。任何感兴趣的黑客都可联系 HackerOne支持团队。
提交表单
请通过提交页面提交错误。
感谢您帮助 Silicon Labs 和我们的用户保持安全!
