安全漏洞常见问题

如需报告产品安全漏洞，请访问 community.silabs.com 注册并创建帐户，然后点击页面右上角的“漏洞披露”选项卡，在下拉菜单中选择“提交漏洞报告”选项。Alternately, you can also email our PSIRT at product-security@silabs.com. Please include a detailed description of the vulnerability, steps to reproduce it, and any supporting materials (e.g., proof-of-concept code) with every submission. 为确保通信安全，请使用我们的 PSIRT PGP 密钥。我们鼓励负责任地披露漏洞，并将在 3 个工作日内确认收到您的提交信息。

如需报告企业资产安全漏洞，请访问 community.silabs.com 注册并创建帐户，然后点击页面右上角的“漏洞披露”选项卡，在下拉菜单中选择“提交漏洞报告”选项。Alternately, you can also email our ESIRT at DL.Enterprise_Security@silabs.com. 请勿向我们的 PSIRT 发送电子邮件，因为该渠道专门用于处理产品安全漏洞。我们鼓励负责任地披露漏洞，并将在 3 个工作日内确认收到您的提交信息。

请提供： 

• 对漏洞的清晰描述。
• 受影响的产品和版本。
• 重现问题的步骤。
• 潜在影响（例如数据泄露、系统受损）。
• 任何概念验证代码或屏幕截图（如适用）。
• 您的后续联系方式。
• 如需署名，可提供署名信息。
• 对于代码漏洞，请指出漏洞文件的确切位置

这有助于我们的 PSIRT 快速评估并处理问题。

可以，我们接受匿名提交。但提供联系信息将有助于我们就相关问题进行跟进澄清，并在适用情况下讨论您参与漏洞赏金计划的资格——该计划将于 2026 年年初推出。

披露： 我们会发布安全公告，向已订阅的用户告知该漏洞信息。如需了解如何订阅安全公告通知，请点击此处。

是的，我们遵循协同漏洞披露原则。我们会与报告者合作，在公开披露前验证并修复漏洞，以更大限度降低对客户的风险。我们力求在发布安全公告的同时，提供可用的修复方案。在某些情况下，可能无法发布修复方案。

Silicon Labs 安全公告一经发布，该公告不得通过留言板、社交媒体、即时通讯工具或其他非正式渠道传播。然而，我们欢迎研究人员在其交流内容或出版物中引用已发布的通用漏洞披露 (CVE) 信息。

您可以在我们的社区门户中查看以往发布的安全公告（需要登录）。您可以根据产品类别筛选安全公告。关于本主题的更多详细信息，可在此处查看。

您可在此处注册，以便在新安全公告发布时接收电子邮件通知。您将能够查看所有已发布的安全公告，但只有在订阅通知时选择的产品类别中有新公告发布时，才会收到通知。

我们的产品安全事件响应团队 (PSIRT) 负责管理公司产品中安全漏洞的识别、评估与解决工作。我们会与研究人员、客户及合作伙伴协作，以确保及时修复漏洞并开展透明沟通。

我们结合行业标准与内部评估来确定漏洞修复的优先级。我们采用通用漏洞评分系统 (CVSS) 4.0，这使我们能够评估每个问题的严重程度。严重漏洞享有至高优先级，我们致力于在 90 天内完成其披露与修复工作。

是的，我们是 CNA（通用漏洞披露编号机构）。这让我们能够在适当时机为已确认的漏洞分配 CVE 编号，从而促进安全问题的公开披露。我们会在每份安全公告中包含相关的 CVE 编号。

我们高度重视数据隐私保护。漏洞报告会被保密处理、安全存储，且仅与参与漏洞修复的团队成员共享。请使用我们的 PSIRT PGP 密钥进行加密提交。详情请参阅我们的《安全漏洞披露政策》和《隐私声明》。