安全漏洞披露政策
如果您發現漏洞,請通過我們的提交頁面提交錯誤
Silicon Laboratories Inc.(“Silicon Labs”、“我們”或“我們的”)期待與安全社區合作查找漏洞,保證我們的業務和客戶安全無虞。
在 Silicon Labs,我們的產品和基礎設施的安全性對我們的業務至關重要。為了引領安全的物聯網技術,Silicon Labs 認識到安全研究人員在保護組織、客戶和用戶安全方面發揮的重要作用。我們相信,與技術嫻熟的安全研究人員合作對于識別和糾正任何技術的弱點至關重要。如果您發現我們的產品、服務或基礎設施存在潛在的安全漏洞,請立即向我們報告。我們期待與您合作,并盡最大努力快速解決問題。
漏洞溝通
客戶、Silicon Labs 員工、研究人員或其他利益相關方可能會報告產品或軟件中存在的漏洞或可疑功能。當懷疑存在安全漏洞時,請填寫并提交表格。報告將發送給 HackerOne,Silicon Labs PSIRT/ESIRT 團隊將收到您提交的報告通知。報告的確認和 bug 的分類將遵循我們的目標響應時間。
有關如何訂閱安全通知的信息,請點擊此處。
響應目標
Silicon Labs 將盡合理努力為該計劃的參與者滿足以下 SLA:
| 響應類型 | ESIRT SLA(以工作日計) | PSIRT SLA(以工作日計) |
|---|---|---|
| 首次響應 | 3 天 | 3 天 |
| 分類時間 | 10 天 | 15 天 |
| 解決時間 | 取決于嚴重程度和復雜性 | 取決于嚴重程度和復雜性 |
披露政策
- 作為參與條件,您同意在未經 Silicon Labs 明確同意的情況下,不會討論此計劃,或在計劃之外披露任何漏洞(即使是已解決的漏洞)。
- 此外,參與此計劃,即表示您同意遵守 HackerOne 的披露準則。
計劃準則
為保護我們公司、客戶和用戶,您必須接受并遵守以下準則:
- 未經 Silicon Labs 事先書面許可,不得向任何第三方披露潛在的安全問題。
- 報告必須提供足夠的細節和可重復的步驟。如果報告不夠詳細,無法重現報告的問題,則問題可能不會被標記為已分類。
- 每份報告只有一個漏洞,除非需要將漏洞鏈接起來以提供影響。
- 如果收到重復報告,將僅對收到的第一份報告進行分類(前提是可以完全復制)。
- 由一個潛在問題引起的多個漏洞將被視為一個有效的報告。
- 避免侵犯隱私、破壞數據以及中斷或降級我們的服務。僅與您所擁有的帳戶或帳戶持有人明確許可的帳戶進行交互。
- 切勿參與任何拒絕服務的行為。
- 請勿我們的客戶或潛在客戶發送任何垃圾郵件。
- 請勿參與 Silicon Labs 員工或承包商的社會工程(包括網絡釣魚)。
- 請勿參與針對 Silicon Labs 財產或數據中心的任何物理嘗試。
- 提交報告后,Silicon Labs 承諾及時確認收到所有報告(提交后三個工作日內),并合理地告知您通過此計劃報告的任何已確認漏洞的狀態。
- Silicon Labs 的第三方提供商接收和處理提交的報告。
- 您授予我們出于任何目的使用您的報告內容的權利。
- 提交報告不會在您與 Silicon Labs 之間建立消費者、雇傭或代理關系。
- 任何獎勵的支付由 Silicon Labs 自行決定。
- Silicon Labs 可能會不時更新本政策。
- 參加此計劃,即表示您同意遵守 HackerOne 的披露指南。
Web 資產的范圍外漏洞
報告漏洞時,請考慮 (1) 攻擊場景/可利用性,以及 (2) 漏洞的安全影響。以下問題被視為超出范圍:
- 在沒有敏感操作的頁面上點擊劫持。
- 未經身份驗證的表格或無敏感操作的表格上的跨站點請求偽造 (CSRF)。
- 需要 MITM 或物理訪問用戶設備的攻擊。
- 以前已知的易受攻擊的庫,沒有有效的概念證明。
- 逗號分隔值文件格式 (CSV) 注入,但沒有顯示出漏洞。
- SSL/TLS 缺少配置中的最佳實踐。
- 任何可能導致我們的服務 (DoS) 中斷的活動。
- 內容欺騙和文本注入問題沒有顯示攻擊向量/無法修改 HTML/CSS。
- 對非身份驗證端點的限制或暴力問題。
- 缺少內容安全政策中的最佳實踐。
- Cookie 上缺少 HttpOnly 或安全標志。
- 缺少電子郵件最佳實踐(SPF/DKIM/DMARC 記錄無效、不完整或缺失等)。
- 漏洞僅影響過時或未修補瀏覽器的用戶[比最新發布的穩定版本晚了不到 2 個穩定版本]。
- 軟件版本披露/橫幅識別問題/描述性錯誤消息或標題(例如堆棧蹤跡、應用程序或服務器錯誤)。
- 標簽釣魚
- 打開重定向 - 除非可以證明額外的安全影響。
- 需要不太可能的用戶交互的問題。
安全港
根據本政策規定的限制和準則開展的任何活動將被視為授權行為,我們不會對您采取法律行動。如果第三方就根據本政策開展的活動對您提起法律訴訟,我們將采取措施,告知您的行為符合本政策。
供研究人員使用的資源
| 參考標題 | 鏈接 | 宗旨 |
|---|---|---|
| 社區鏈接 | https://community.silabs.com/s/ | 技術支持參考資料 |
| 用戶項目頁面 | https://community.silabs.com/s/all-blogs?language=en_US | 各類項目及時間線相關博客 |
| 訂購套件 | https://www.silabs.com/development-tools | 如何訂購測試套件 |
Bug 賞金計劃
Silicon Labs 與 HackerOne 合作,獎勵對我們的基礎設施和產品進行壓力測試的道德黑客。
我們的漏洞報告獎勵計劃由 Hacker One 管理。任何人都可以按照我們報告產品安全漏洞頁面上的指引提交漏洞報告。如該頁面所述,針對特定目標的報告將提供獎勵。
任何感興趣的黑客都可聯系 HackerOne 支持團隊獲取更多信息。
提交表單
請通過提交頁面提交錯誤。
感謝您幫助 Silicon Labs 和我們的用戶保持安全!
