联发科技一向致力于设计和提供安全可靠的创新产品。我们相信让客户可以安心使用联发科技的产品至关重要,客户数据之机密性和完整性可藉由包括但不限于提供实时的信息、指引和修复产品漏洞得到保护。为了最大限度地提升分析、修复和揭露与我们产品相关的安全漏洞之效率,我们敦促安全研究人员遵循本漏洞揭露政策(下称「VDP」)来提交您所发现的安全漏洞报告。
安全漏洞报告提交原则
- 安全漏洞须与联发科技之技术有关。
- 安全问题须联发科技尚未知悉且仅限与联发科技沟通。
- 于安全漏洞尚未揭露期间,所有与该安全问题相关之信息都必须保密。
- 应诚信地努力避免侵犯隐私、破坏产品生态环境、及毁坏或窜改数据。
- 当不同研究人员提交相同的安全问题,仅首位研究人员会被列于我们的 产品安全致谢。
- 安全漏洞提交可能额外受到适用法律的限制。
- 您的测试不应违反任何法律,也不得破坏或影响任何不属于您的数据。此安全漏洞揭露政策符合一般漏洞揭露惯例,不允许以任何违反法律或可能导致违反法律义务的方式行事。
- 我们保留自行决定提交资格的权利。
您可以预期
- 我们致力于收到首次报告后的3到5个工作日内响应,若您于提交首次报告一周后仍没有收到我们的回复,请再次提交给我们。
- 我们会尽最大努力解决安全漏洞,包括但不限于在90天内向我们的OEM合作伙伴提供修补程序,并视情形必要时与利害关系人进行沟通。
- 我们会授予已解决之联发科技产品相关安全问题CVE编号,但不包括第三方软件等超出联发科技所可控制范围外之问题。虽然我们目前不提供金钱奖励,若您依据本VDP所提报给我们之安全漏洞严重性为中、高或严重,我们会提供 产品安全致谢。
通报潜在之安全漏洞
- 详情请参阅 通报安全漏洞。
安全漏洞严重程度
- 联发科技目前基于通用安全漏洞评分系统3.1版 (CVSS v3.1),对于已识别之安全漏洞的严重性进行分级与评估。在特定情况下,若有不在CVSS范围内的评估因素,我们将保留调整这些准则的权利。