Vulnerability Disclosure Policy
Vulnerability Disclosure Policy
漏洞披露政策
简介
ADI公司(以下为“ADI”)试图减少与在我们产品中可能发现的安全漏洞相关风险。我们的目标是通过分析报告和发现的漏洞,并为我们的客户提供及时信息、分析和适当的风险缓解指导来实现这一目标。
在调查和验证报告的漏洞后,ADI将致力于创建适当的补救措施(如需)。补救措施可采取:
- 新产品发布、补丁或更新、
- 纠正程序的形式,或解决安全问题,或
- 为客户提供额外指导以防发生受影响产品中报告的问题。
ADI将尽一切努力在最短的合理时间内提供补救或纠正措施,以保护我们的客户和合作伙伴。ADI通过我们的常规支持渠道和www.analog.com/security向客户传递安全信息和/或更新。
指南
我们要求所有发现者应该:
- 在安全测试期间尽一切努力避免侵犯隐私、用户体验退化、生产系统中断和数据破坏。
- 仅在下面列出的范围内进行研究。
- 只使用确定的通信渠道报告漏洞信息。
- 保存您发现在您自己和ADI公司之间保密的漏洞信息,直到披露获得发现者和ADI的认可。
- 在此过程中保持沟通和合作。
如果您在向我们报告问题时遵循以上指南,我们承诺::
- 不寻求或支持与您的漏洞研究有关的任何法律行动(恶意行为除外)
- 与您合作,快速了解并解决与漏洞相关的问题(包括在提交后2个工作日内初步确认您的报告)
- 如果您率先报告问题,ADI公司可能会承认您的贡献,我们会根据问题酌情进行产品修改或配置更改。
范围
- ADI产品和软件
- 服务和基础设施
- 产品文档
注意:下面提供每种产品类型要求的特定信息。
范围之外:
为了我们的用户、工作人员、广大互联网以及您作为安全研究员的安全,以下测试类型被排除在范围之外:
- 办公室门禁(例如开门、尾随)等设施的物理测试结果
- 主要来自社会工程(例如网络钓鱼、话钓)的发现
- 来自未列入`范围`部分的应用程序或系统的发现
- 不包含安全含义的UI和UX错误
- 拼写错误
- 网络级别拒绝服务(DoS/DDoS)漏洞
- 特定于ADI评估板上非ADI元件的发现
ADI公司明确禁止将下列信息纳入漏洞报告:
- 个人身份信息(PII)
- 信用卡持有人数据
- 分类数据
- 二进制数据 – 可能时请提供源代码
报告
如果您认为在我们某个产品或平台中发现了安全漏洞,请发送电子邮件至securityalert@analog.com,将发现报告发送给我们。请在您的报告中提供以下详细信息:
- 您的名称/操作和报告中的识别链接(如果选择)
- 您的PGP公共密钥,以便我们可以继续与您通信;和
- 以下报告模板中列出的产品相关详细信息。
为了保证不会过早披露安全漏洞细节,我们要求研究人员使用我们的PGP公共密钥加密电子邮件。
PGP公共密钥和指纹:FB72 5DA9 253F 4A16 3FE2 D414 1DC0 2E39 0DDB 3733
披露
披露前,我们将执行以下操作(适用时):
- 分类和验证发现报告
- 与您沟通风险缓解(适用时)和披露(适用时)时间表(我们可以要求延长禁运期)
- 与多方协调披露中的其他各方沟通
- 获得用于跟踪的通用漏洞列表(CVE)标识符
- 与您沟通补救战略
- 根据需要在www.analog.com/security上发布披露
客户权利:保证、支持和维护
ADI客户在对适用ADI产品或服务的保证、支持和维护方面的权利完全受我们的标准销售条款和条件以及ADI与每位客户之间的任何其他适用协议管制,并在所有方面受其约束。
本文档中的声明不会修改或扩大任何客户权利,也不会创建任何附加保证,无论是明示还是暗示保证。任何提供给ADI的关于ADI产品中漏洞的信息,包括产品漏洞报告中的所有信息,均独归ADI所有和使用,而不需要解释或考虑这些信息的提供者。
- 产品名称 - 用于该解决方案的通用名称
- 产品版本号
- 主机操作系统 - 如有
- 主机操作系统版本号
- 预期功能
- 利用后的功能
- 重现漏洞的步骤
- 源代码示例 - 如有
- 发现者的联系信息 - 联系发现者的最佳方式
- 所涉及的其他当事方 - 如有,用于协调披露
- 披露计划 - 何时披露发现者计划
- 威胁/风险/影响评估 - 发现者将什么内容视为威胁、风险和影响(高、中、低)
- 配置 - 系统和硬件的配置内容
- 产品封装上所示的硬件型号
- 硬件版本号
- 预期功能
- 利用后的功能
- 重现漏洞的步骤
- 源代码示例 - 如有
- 发现者的联系信息 - 联系发现者的最佳方式
- 所涉及的其他当事方 - 如有,用于协调披露
- 披露计划 - 何时披露发现者计划
- 威胁/风险/影响评估 - 发现者将什么内容视为威胁、风险和影响(高、中、低)
- 配置 - 硬件的配置内容(连接、软件、调试连接等)
- 发现时间和日期 - 如果已知
- 用于服务的统一资源定位符(URL)
- 浏览器配置 - 如使用
- 重现漏洞所需的输入
- 重现漏洞的步骤
- 源代码利用示例 - 如有
- 发现者的联系信息 - 联系发现者的最佳方式
- 所涉及的其他当事方d - 如有,用于协调披露
- 披露计划 - 何时披露发现者计划
- 威胁/风险/影响评估 - 发现者将什么内容视为威胁、风险和影响(高、中、低)
- 系统配置 - 如果与漏洞相关