安全公告
首頁»產品及服務»安全公告
- 我們致力於持續提升產品與服務的資訊安全。外部單位通報可能影響本公司產品或解決方案的安全弱點,將有助於強化整體產品安全性。
一. 通報處理流程
- 收到外部單位針對本公司產品的弱點通報後,將確認通報內容 (如:產品資訊與弱點描述…等)後,進行初步回覆。
- 分析人員將根據通報進行初步風險評估,確認點是否為對產品有潛在安全影響。
- 與內部研發或相關單位合作,進一步分析根因(Root Cause),確認其對產品功能與安全性的實際影響,並研擬可行解決方案。
- 制定解決方案後,由研發單位驗證結果是否有效,避免造成其他功能錯誤或系統不穩,必要時安排 hotfix 或版本更新並通知客戶。
- 完成驗證後,研發單位將發布正式安全公告,內容包含解決方案說明及影響版本。
| 階段 | 說明 |
|---|---|
| 外部通報 |
|
| 初步評估 |
|
| 分析根因 |
|
| 制定解決方案與驗證 |
|
| 發布安全性公告 |
|
二. 通報弱點範圍定義
- 接受影響廣達電腦自有產品與服務的安全弱點報告,包括但不限於韌體、軟體及硬體設計缺陷。
- 以下情況通常不在受理範圍內:
- 非由廣達電腦開發或維護的第三方元件弱點。
- 社交工程攻擊(例如:釣魚攻擊)。
- 需要直接實體接觸設備的攻擊。
- 未利用特定弱點的阻斷服務攻擊。
三. 聯絡資訊
- Email:PSIRT@quantatw.com(建議使用 PGP 加密)
- PGP 公鑰
四. 通報內容建議包含的資訊
- 發現的產品與版本
- 弱點類型與重現步驟(含 PoC 或示範)
- 聯絡方式(如欲接收回覆)
五. 爭議處理與申訴政策
- 若通報者不同意本公司對弱點評估結果、嚴重程度判定或 CVE 協調決策,可透過PSIRT@quantatw.com 提出重新審查申請。本公司將於 3 個工作天內與回報者進行進一步溝通與說明。
- 若仍無法達成共識,通報者可依照 CVE Program Rules 向對應之 CVE Root 提出申訴。本公司將依據 CVE Program Rules 及其爭議處理與升級機制辦理後續程序。
六. 弱點公告
