安全漏洞揭露政策

初版: 2021年8月5日 | 最后更新: 2022年12月20日
联发科技一向致力于设计和提供安全可靠的创新产品。我们相信让客户可以安心使用联发科技的产品至关重要,客户数据之机密性和完整性可藉由包括但不限于提供实时的信息、指引和修复产品漏洞得到保护。为了最大限度地提升分析、修复和揭露与我们产品相关的安全漏洞之效率,我们敦促安全研究人员遵循本漏洞揭露政策(下称「VDP」)来提交您所发现的安全漏洞报告。


安全漏洞报告提交原则

  • 安全漏洞须与联发科技之技术有关。
  • 安全问题须联发科技尚未知悉且仅限与联发科技沟通。
  • 于安全漏洞尚未揭露期间,所有与该安全问题相关之信息都必须保密。
  • 应诚信地努力避免侵犯隐私、破坏产品生态环境、及毁坏或窜改数据。
  • 当不同研究人员提交相同的安全问题,仅首位研究人员会被列于我们的 产品安全致谢
  • 安全漏洞提交可能额外受到适用法律的限制。
  • 您的测试不应违反任何法律,也不得破坏或影响任何不属于您的数据。此安全漏洞揭露政策符合一般漏洞揭露惯例,不允许以任何违反法律或可能导致违反法律义务的方式行事。
  • 我们保留自行决定提交资格的权利。


您可以预期

  • 我们致力于收到首次报告后的3到5个工作日内响应,若您于提交首次报告一周后仍没有收到我们的回复,请再次提交给我们。
  • 我们会尽最大努力解决安全漏洞,包括但不限于在90天内向我们的OEM合作伙伴提供修补程序,并视情形必要时与利害关系人进行沟通。
  • 我们会授予已解决之联发科技产品相关安全问题CVE编号,但不包括第三方软件等超出联发科技所可控制范围外之问题。虽然我们目前不提供金钱奖励,若您依据本VDP所提报给我们之安全漏洞严重性为中、高或严重,我们会提供 产品安全致谢


通报潜在之安全漏洞


安全漏洞严重程度

  • 联发科技目前基于通用安全漏洞评分系统3.1版 (CVSS v3.1),对于已识别之安全漏洞的严重性进行分级与评估。在特定情况下,若有不在CVSS范围内的评估因素,我们将保留调整这些准则的权利。


免责声明

  • 我们保留权利未经通知可随时修改或更新本VDP及相关之安全漏洞揭露流程。其它法律要点请参阅 法律声明隐私权政策