安全漏洞披露政策

如果您發(fā)現(xiàn)漏洞，請通過我們的提交頁面提交錯(cuò)誤

Silicon Laboratories Inc.（“Silicon Labs”、“我們”或“我們的”）期待與安全社區(qū)合作查找漏洞，保證我們的業(yè)務(wù)和客戶安全無虞。

在 Silicon Labs，我們的產(chǎn)品和基礎(chǔ)設(shè)施的安全性對我們的業(yè)務(wù)至關(guān)重要。為了引領(lǐng)安全的物聯(lián)網(wǎng)技術(shù)，Silicon Labs 認(rèn)識到安全研究人員在保護(hù)組織、客戶和用戶安全方面發(fā)揮的重要作用。我們相信，與技術(shù)嫻熟的安全研究人員合作對于識別和糾正任何技術(shù)的弱點(diǎn)至關(guān)重要。如果您發(fā)現(xiàn)我們的產(chǎn)品、服務(wù)或基礎(chǔ)設(shè)施存在潛在的安全漏洞，請立即向我們報(bào)告。我們期待與您合作，并盡最大努力快速解決問題。

漏洞溝通

客戶、Silicon Labs 員工、研究人員或其他利益相關(guān)方可能會(huì)報(bào)告產(chǎn)品或軟件中存在的漏洞或可疑功能。當(dāng)懷疑存在安全漏洞時(shí)，請?zhí)顚懖?a href="/security/report-security-vulnerability" target="_blank">提交表格。報(bào)告將發(fā)送給 HackerOne，Silicon Labs PSIRT/ESIRT 團(tuán)隊(duì)將收到您提交的報(bào)告通知。報(bào)告的確認(rèn)和 bug 的分類將遵循我們的目標(biāo)響應(yīng)時(shí)間。

有關(guān)如何訂閱安全通知的信息，請點(diǎn)擊此處。

響應(yīng)目標(biāo)

Silicon Labs 將盡合理努力為該計(jì)劃的參與者滿足以下 SLA：

披露政策

• 作為參與條件，您同意在未經(jīng) Silicon Labs 明確同意的情況下，不會(huì)討論此計(jì)劃，或在計(jì)劃之外披露任何漏洞（即使是已解決的漏洞）。
• 此外，參與此計(jì)劃，即表示您同意遵守 HackerOne 的披露準(zhǔn)則。

計(jì)劃準(zhǔn)則

為保護(hù)我們公司、客戶和用戶，您必須接受并遵守以下準(zhǔn)則：

• 未經(jīng) Silicon Labs 事先書面許可，不得向任何第三方披露潛在的安全問題。
• 報(bào)告必須提供足夠的細(xì)節(jié)和可重復(fù)的步驟。如果報(bào)告不夠詳細(xì)，無法重現(xiàn)報(bào)告的問題，則問題可能不會(huì)被標(biāo)記為已分類。
• 每份報(bào)告只有一個(gè)漏洞，除非需要將漏洞鏈接起來以提供影響。
• 如果收到重復(fù)報(bào)告，將僅對收到的第一份報(bào)告進(jìn)行分類（前提是可以完全復(fù)制）。
• 由一個(gè)潛在問題引起的多個(gè)漏洞將被視為一個(gè)有效的報(bào)告。
• 避免侵犯隱私、破壞數(shù)據(jù)以及中斷或降級我們的服務(wù)。僅與您所擁有的帳戶或帳戶持有人明確許可的帳戶進(jìn)行交互。
• 切勿參與任何拒絕服務(wù)的行為。
• 請勿我們的客戶或潛在客戶發(fā)送任何垃圾郵件。
• 請勿參與 Silicon Labs 員工或承包商的社會(huì)工程（包括網(wǎng)絡(luò)釣魚）。
• 請勿參與針對 Silicon Labs 財(cái)產(chǎn)或數(shù)據(jù)中心的任何物理嘗試。
• 提交報(bào)告后，Silicon Labs 承諾及時(shí)確認(rèn)收到所有報(bào)告（提交后三個(gè)工作日內(nèi)），并合理地告知您通過此計(jì)劃報(bào)告的任何已確認(rèn)漏洞的狀態(tài)。
• Silicon Labs 的第三方提供商接收和處理提交的報(bào)告。
• 您授予我們出于任何目的使用您的報(bào)告內(nèi)容的權(quán)利。
• 提交報(bào)告不會(huì)在您與 Silicon Labs 之間建立消費(fèi)者、雇傭或代理關(guān)系。
• 任何獎(jiǎng)勵(lì)的支付由 Silicon Labs 自行決定。
• Silicon Labs 可能會(huì)不時(shí)更新本政策。
• 參加此計(jì)劃，即表示您同意遵守 HackerOne 的披露指南。

Web 資產(chǎn)的范圍外漏洞

報(bào)告漏洞時(shí)，請考慮 (1) 攻擊場景/可利用性，以及 (2) 漏洞的安全影響。以下問題被視為超出范圍：

• 在沒有敏感操作的頁面上點(diǎn)擊劫持。
• 未經(jīng)身份驗(yàn)證的表格或無敏感操作的表格上的跨站點(diǎn)請求偽造 (CSRF)。
• 需要 MITM 或物理訪問用戶設(shè)備的攻擊。
• 以前已知的易受攻擊的庫，沒有有效的概念證明。
• 逗號分隔值文件格式 (CSV) 注入，但沒有顯示出漏洞。
• SSL/TLS 缺少配置中的最佳實(shí)踐。
• 任何可能導(dǎo)致我們的服務(wù) (DoS) 中斷的活動(dòng)。
• 內(nèi)容欺騙和文本注入問題沒有顯示攻擊向量/無法修改 HTML/CSS。
• 對非身份驗(yàn)證端點(diǎn)的限制或暴力問題。
• 缺少內(nèi)容安全政策中的最佳實(shí)踐。
• Cookie 上缺少 HttpOnly 或安全標(biāo)志。
• 缺少電子郵件最佳實(shí)踐（SPF/DKIM/DMARC 記錄無效、不完整或缺失等）。
• 漏洞僅影響過時(shí)或未修補(bǔ)瀏覽器的用戶[比最新發(fā)布的穩(wěn)定版本晚了不到 2 個(gè)穩(wěn)定版本]。
• 軟件版本披露/橫幅識別問題/描述性錯(cuò)誤消息或標(biāo)題（例如堆棧蹤跡、應(yīng)用程序或服務(wù)器錯(cuò)誤）。
• 標(biāo)簽釣魚
• 打開重定向 - 除非可以證明額外的安全影響。
• 需要不太可能的用戶交互的問題。

安全港

根據(jù)本政策規(guī)定的限制和準(zhǔn)則開展的任何活動(dòng)將被視為授權(quán)行為，我們不會(huì)對您采取法律行動(dòng)。如果第三方就根據(jù)本政策開展的活動(dòng)對您提起法律訴訟，我們將采取措施，告知您的行為符合本政策。

供研究人員使用的資源

Bug 賞金計(jì)劃

Silicon Labs 與 HackerOne 合作，獎(jiǎng)勵(lì)對我們的基礎(chǔ)設(shè)施和產(chǎn)品進(jìn)行壓力測試的道德黑客。

我們的漏洞報(bào)告獎(jiǎng)勵(lì)計(jì)劃由 Hacker One 管理。任何人都可以按照我們報(bào)告產(chǎn)品安全漏洞頁面上的指引提交漏洞報(bào)告。如該頁面所述，針對特定目標(biāo)的報(bào)告將提供獎(jiǎng)勵(lì)。

任何感興趣的黑客都可聯(lián)系 HackerOne 支持團(tuán)隊(duì)獲取更多信息。

提交表單

請通過提交頁面提交錯(cuò)誤。

感謝您幫助 Silicon Labs 和我們的用戶保持安全！