安全公告

首页»产品及服务»安全公告
  • 我们致力于持续提升产品与服务的资讯安全。外部单位通报可能影响本公司产品或解决方案的安全弱点,将有助于强化整体产品安全性。

一. 通报处理流程

    阶段 说明
    外部通报
  • 收到外部单位针对本公司产品的弱点通报后,将确认通报内容 (如:产品资讯与弱点描述…等)后,进行初步回覆。
    • 初步评估
  • 分析人员将根据通报进行初步风险评估,确认点是否为对产品有潜在安全影响。
    • 分析根因
  • 与内部研发或相关单位合作,进一步分析根因(Root Cause),确认其对产品功能与安全性的实际影响,并研拟可行解决方案。
    • 制定解决方案与验证
  • 制定解决方案后,由研发单位验证结果是否有效,避免造成其他功能错误或系统不稳,必要时安排 hotfix 或版本更新并通知客户。
    • 发布安全性公告
  • 完成验证后,研发单位将发布正式安全公告,内容包含解决方案说明及影响版本。
    		•

二. 通报弱点范围定义

  • 接受影响广达电脑自有产品与服务的安全弱点报告,包括但不限于韧体、软体及硬体设计缺陷。
  • 以下情况通常不在受理范围内:
    • 非由广达电脑开发或维护的第三方元件弱点。
    • 社交工程攻击(例如:钓鱼攻击)。
    • 需要直接实体接触设备的攻击。
    • 未利用特定弱点的阻断服务攻击。

三. 联络资讯

四. 通报内容建议包含的资讯

    • 发现的产品与版本
    • 弱点类型与重现步骤(含 PoC 或示范)
    • 联络方式(如欲接收回覆)

五. 争议处理与申诉政策

    • 若通报者不同意本公司对弱点评估结果、严重程度判定或 CVE 协调决策,可透过PSIRT@quantatw.com 提出重新审查申请。本公司将于 3 个工作天内与回报者进行进一步沟通与说明。
    • 若仍无法达成共识,通报者可依照 CVE Program Rules 向对应之 CVE Root 提出申诉。本公司将依据 CVE Program Rules 及其争议处理与升级机制办理后续程序。

六. 弱点公告