产品安全响应

漏洞披露政策


简介

ADI公司(以下为“ADI”)试图减少与在我们产品中可能发现的安全漏洞相关风险。我们的目标是通过分析报告和发现的漏洞,并为我们的客户提供及时信息、分析和适当的风险缓解指导来实现这一目标。

在调查和验证报告的漏洞后,ADI将致力于创建适当的补救措施(如需)。补救措施可采取:

  • 新产品发布、补丁或更新、
  • 纠正程序的形式,或解决安全问题,或
  • 为客户提供额外指导以防发生受影响产品中报告的问题。

ADI将尽一切努力在最短的合理时间内提供补救或纠正措施,以保护我们的客户和合作伙伴。ADI通过我们的常规支持渠道和www.analog.com/security向客户传递安全信息和/或更新。


指南

我们要求所有发现者应该:

  • 在安全测试期间尽一切努力避免侵犯隐私、用户体验退化、生产系统中断和数据破坏。
  • 仅在下面列出的范围内进行研究。
  • 只使用确定的通信渠道报告漏洞信息。
  • 保存您发现在您自己和ADI公司之间保密的漏洞信息,直到披露获得发现者和ADI的认可。
  • 在此过程中保持沟通和合作。

如果您在向我们报告问题时遵循以上指南,我们承诺::

  • 不寻求或支持与您的漏洞研究有关的任何法律行动(恶意行为除外)
  • 与您合作,快速了解并解决与漏洞相关的问题(包括在提交后2个工作日内初步确认您的报告)
  • 如果您率先报告问题,ADI公司可能会承认您的贡献,我们会根据问题酌情进行产品修改或配置更改。

范围

  • ADI产品和软件
  • 服务和基础设施
  • 产品文档

注意:下面提供每种产品类型要求的特定信息。


范围之外:

为了我们的用户、工作人员、广大互联网以及您作为安全研究员的安全,以下测试类型被排除在范围之外:

  • 办公室门禁(例如开门、尾随)等设施的物理测试结果
  • 主要来自社会工程(例如网络钓鱼、话钓)的发现
  • 来自未列入`范围`部分的应用程序或系统的发现
  • 不包含安全含义的UI和UX错误
  • 拼写错误
  • 网络级别拒绝服务(DoS/DDoS)漏洞
  • 特定于ADI评估板上非ADI元件的发现

ADI公司明确禁止将下列信息纳入漏洞报告:

  • 个人身份信息(PII)
  • 信用卡持有人数据
  • 分类数据
  • 二进制数据 – 可能时请提供源代码

报告

如果您认为在我们某个产品或平台中发现了安全漏洞,请发送电子邮件至securityalert@analog.com,将发现报告发送给我们。请在您的报告中提供以下详细信息:

  • 您的名称/操作和报告中的识别链接(如果选择)
  • 您的PGP公共密钥,以便我们可以继续与您通信;和
  • 以下报告模板中列出的产品相关详细信息。

为了保证不会过早披露安全漏洞细节,我们要求研究人员使用我们的PGP公共密钥加密电子邮件。

PGP公共密钥和指纹:3595 2848 ABDC D94B A904 8437 EE41 3D2E B4F6 2E9B


披露

披露前,我们将执行以下操作(适用时):

  • 分类和验证发现报告
  • 与您沟通风险缓解(适用时)和披露(适用时)时间表(我们可以要求延长禁运期)
  • 与多方协调披露中的其他各方沟通
  • 获得用于跟踪的通用漏洞列表(CVE)标识符
  • 与您沟通补救战略
  • 根据需要在www.analog.com/security上发布披露

客户权利:保证、支持和维护

ADI客户在对适用ADI产品或服务的保证、支持和维护方面的权利完全受我们的标准销售条款和条件以及ADI与每位客户之间的任何其他适用协议管制,并在所有方面受其约束。

本文档中的声明不会修改或扩大任何客户权利,也不会创建任何附加保证,无论是明示还是暗示保证。任何提供给ADI的关于ADI产品中漏洞的信息,包括产品漏洞报告中的所有信息,均独归ADI所有和使用,而不需要解释或考虑这些信息的提供者。

报告模板

基于软件的漏洞

X+
  1. 产品名称 - 用于该解决方案的通用名称
  2. 产品版本号
  3. 主机操作系统 - 如有
  4. 主机操作系统版本号
  5. 预期功能
  6. 利用后的功能
  7. 重现漏洞的步骤
  8. 源代码示例 - 如有
  9. 发现者的联系信息 - 联系发现者的最佳方式
  10. 所涉及的其他当事方 - 如有,用于协调披露
  11. 披露计划 - 何时披露发现者计划
  12. 威胁/风险/影响评估 - 发现者将什么内容视为威胁、风险和影响(高、中、低)
  13. 配置 - 系统和硬件的配置内容

基于硬件的漏洞

X+
  1. 产品封装上所示的硬件型号
  2. 硬件版本号
  3. 预期功能
  4. 利用后的功能
  5. 重现漏洞的步骤
  6. 源代码示例 - 如有
  7. 发现者的联系信息 - 联系发现者的最佳方式
  8. 所涉及的其他当事方 - 如有,用于协调披露
  9. 披露计划 - 何时披露发现者计划
  10. 威胁/风险/影响评估 - 发现者将什么内容视为威胁、风险和影响(高、中、低)
  11. 配置 - 硬件的配置内容(连接、软件、调试连接等)

基于云的漏洞

X+
  1. 发现时间和日期 - 如果已知
  2. 用于服务的统一资源定位符(URL)
  3. 浏览器配置 - 如使用
  4. 重现漏洞所需的输入
  5. 重现漏洞的步骤
  6. 源代码利用示例 - 如有
  7. 发现者的联系信息 - 联系发现者的最佳方式
  8. 所涉及的其他当事方d - 如有,用于协调披露
  9. 披露计划 - 何时披露发现者计划
  10. 威胁/风险/影响评估 - 发现者将什么内容视为威胁、风险和影响(高、中、低)
  11. 系统配置 - 如果与漏洞相关