安全公告
首頁»產品及服務»安全公告
- 我們致力於持續提升產品與服務的資訊安全,並誠摯歡迎您通報任何可能影響我們產品或解決方案的安全弱點。
一. 漏洞揭露流程
- PSIRT將在收到針對本公司產品的漏洞通報後,於3個工作天內回應並確認通報內容,包括產品資訊、漏洞描述與重現方式等,確保回報者能得到快速且明確的初步回覆。
- 分析人員將根據報告進行初步風險評估與技術分類,確認漏洞是否為新發現並判斷對產品的潛在安全影響。確認漏洞的有效性與範圍後,將在此階段分配 CVE ID,並通知回報者,待揭露時納入公開安全公告。
- 與內部研發或相關單位合作,進一步分析漏洞根因(Root Cause),確認漏洞對產品功能與安全性的實際影響,並研擬可能的解法。在此階段亦會持續與通報者協調揭露時程與相關細節,保持雙向溝通。
- 確認修補方向後,PSIRT 將與研發團隊合作實作修補方案,並由研發單位驗證修補結果是否有效,避免造成其他功能錯誤或系統不穩,必要時安排 hotfix 或版本更新以通知客戶。
- 完成修補後,研發單位將發布正式安全公告,內容包含漏洞說明、影響版本及修補建議。 本公司依循 90 天協調揭露原則(CVD)與回報者協議公開漏洞資訊。實際揭露時程將依漏洞嚴重程度、修補複雜度及雙方協議調整。 本公司原則上於修補完成或達成揭露協議後公告。惟不保證於特定期限內提供修補程式或版本。
| 階段 | 說明 |
|---|---|
| 首次回應 |
|
| 評估與分類 |
|
| 技術調查 |
|
| 修補與驗證 |
|
| 揭露與公告 |
|
二. 回報者的角色與責任
- 為確保協調且有效的揭露流程,我們期望漏洞回報者:
- 在修復方案就緒或達成雙方協議的揭露日期前,不公開揭露該漏洞。
- 提供足夠的技術細節,以便我們的團隊重現並驗證問題。
- 以善意行事,避免任何可能危害我們系統或使用者資料之可用性、完整性或隱私的行為。
- 在進行公開揭露前,給予合理的修復時間。
三. 漏洞範圍定義
- 廣達電腦 PSIRT 接受影響廣達電腦自有產品與服務的安全漏洞報告,包括但不限於韌體、軟體及硬體設計缺陷。
- 以下情況通常不在受理範圍內:
- 非由廣達電腦開發或維護的第三方元件漏洞。
- 社交工程攻擊(例如:釣魚攻擊)。
- 需要直接實體接觸設備的攻擊。
- 未利用特定漏洞的阻斷服務攻擊。
四. 聯絡資訊
- Email:PSIRT@quantatw.com(建議使用 PGP 加密)
- PGP 公鑰
五. 報內容建議包含的資訊
- 發現的產品與版本
- 弱點類型與重現步驟(含 PoC 或示範)
- 您的聯絡方式(如欲接收回覆)
六. 我們的承諾
- 廣達電腦支持協調漏洞揭露(Coordinated Vulnerability Disclosure)原則。
- 我們不會對遵循本政策的善意安全研究人員採取法律行動。
- 爭議處理與申訴政策
七. 漏洞公告
