安全公告

首页»产品及服务»安全公告
  • 我们致力于持续提升产品与服务的资讯安全,并诚挚欢迎您通报任何可能影响我们产品或解决方案的安全弱点。

一. 漏洞揭露流程

    阶段 说明
    首次回应
  • PSIRT将在收到针对本公司产品的漏洞通报后,于3个工作天内回应并确认通报内容,包括产品资讯、漏洞描述与重现方式等,确保回报者能得到快速且明确的初步回覆。
    		•
    评估与分类
  • 分析人员将根据报告进行初步风险评估与技术分类,确认漏洞是否为新发现并判断对产品的潜在安全影响。确认漏洞的有效性与范围后,将在此阶段分配 CVE ID,并通知回报者,待揭露时纳入公开安全公告。
    		•
    技术调查
  • 与内部研发或相关单位合作,进一步分析漏洞根因(Root Cause),确认漏洞对产品功能与安全性的实际影响,并研拟可能的解法。在此阶段亦会持续与通报者协调揭露时程与相关细节,保持双向沟通。
    		•
    修补与验证
  • 确认修补方向后,PSIRT 将与研发团队合作实作修补方案,并由研发单位验证修补结果是否有效,避免造成其他功能错误或系统不稳,必要时安排 hotfix 或版本更新以通知客户。
    		•
    揭露与公告
  • 完成修补后,研发单位将发布正式安全公告,内容包含漏洞说明、影响版本及修补建议。
    本公司依循 90 天协调揭露原则(CVD)与回报者协议公开漏洞资讯。实际揭露时程将依漏洞严重程度、修补复杂度及双方协议调整。
    本公司原则上于修补完成或达成揭露协议后公告。惟不保证于特定期限内提供修补程式或版本。

二. 回报者的角色与责任

  • 为确保协调且有效的揭露流程,我们期望漏洞回报者:
    • 在修复方案就绪或达成双方协议的揭露日期前,不公开揭露该漏洞。
    • 提供足够的技术细节,以便我们的团队重现并验证问题。
    • 以善意行事,避免任何可能危害我们系统或使用者资料之可用性、完整性或隐私的行为。
    • 在进行公开揭露前,给予合理的修复时间。

三. 漏洞范围定义

  • 广达电脑 PSIRT 接受影响广达电脑自有产品与服务的安全漏洞报告,包括但不限于韧体、软体及硬体设计缺陷。
  • 以下情况通常不在受理范围内:
    • 非由广达电脑开发或维护的第三方元件漏洞。
    • 社交工程攻击(例如:钓鱼攻击)。
    • 需要直接实体接触设备的攻击。
    • 未利用特定漏洞的阻断服务攻击。

四. 联络资讯

五. 通报内容建议包含的资讯

    • 发现的产品与版本
    • 弱点类型与重现步骤(含 PoC 或示范)
    • 您的联络方式(如欲接收回覆)

六. 我们的承诺

    • 广达电脑支持协调漏洞揭露(Coordinated Vulnerability Disclosure)原则。
    • 我们不会对遵循本政策的善意安全研究人员采取法律行动。
    • 争议处理与申诉政策

七. 漏洞公告