在 Silicon Labs,我們致力于與安全研究社區(qū)、客戶及合作伙伴開展協(xié)作,以負責任的態(tài)度及時發(fā)現(xiàn)并解決漏洞。作為通用漏洞披露編號機構(gòu) (CNA),Silicon Labs 遵循漏洞披露與管理的行業(yè)規(guī)范,確保整個流程的透明度與問責性。
本常見問題頁面旨在提供清晰指引,內(nèi)容包括如何報告潛在安全問題、在披露流程中可預期的事項,以及我們?nèi)绾翁幚砺┒磁丁o論您是研究人員、開發(fā)人員還是客戶,我們都十分感謝您為助力我們維護安全生態(tài)系統(tǒng)所付出的努力。
報告漏洞
To report a product security vulnerability, please register and create an account at community.silabs.com and click on the "Vulnerability Disclosure" tab on the top right-hand corner to select the "Vulnerability Report Submission" option in the drop-down menu. Alternately, you can also?email our PSIRT at?product-security@silabs.com. Please include a detailed description of the vulnerability, steps to reproduce it, and any supporting materials (e.g., proof-of-concept code) with every submission. For secure communication, use our?PSIRT PGP Key. We encourage responsible disclosure and will acknowledge your submission within 3 business days.?
To report an enterprise asset security vulnerability,?please register and create an account at?community.silabs.com?and click on the "Vulnerability Disclosure" tab on the top right-hand corner to select the "Vulnerability Report Submission" option in the drop-down menu. Alternately, you can also?email our ESIRT at?DL.Enterprise_Security@silabs.com. 請勿向我們的 PSIRT 發(fā)送電子郵件,因為該渠道專門用于處理產(chǎn)品安全漏洞。We encourage responsible disclosure and will acknowledge your submission within 3 business days.?
請?zhí)峁?
- 對漏洞的清晰描述。
- 受影響的產(chǎn)品和版本。
- 重現(xiàn)問題的步驟。
- 潛在影響(例如數(shù)據(jù)泄露、系統(tǒng)受損)。
- 任何概念驗證代碼或屏幕截圖(如適用)。
- 您的后續(xù)聯(lián)系方式。
- 如需署名,可提供署名信息。
- For coding vulnerabilities, please point to the exact location of the vulnerable files
這有助于我們的 PSIRT 快速評估并處理問題。
可以,我們接受匿名提交。However, providing contact information allows us to follow up for clarification and, if applicable, discuss eligibility for our?Bug?Bounty Program,?which is coming up in early 2026.??
披露流程
披露: 我們會發(fā)布安全公告,向已訂閱的用戶告知該漏洞信息。如需了解如何訂閱安全公告通知,請點擊此處。
是的,我們遵循協(xié)同漏洞披露原則。我們會與報告者合作,在公開披露前驗證并修復漏洞,以更大限度降低對客戶的風險。我們力求在發(fā)布安全公告的同時,提供可用的修復方案。在某些情況下,可能無法發(fā)布修復方案。
Silicon Labs 安全公告一經(jīng)發(fā)布,該公告不得通過留言板、社交媒體、即時通訊工具或其他非正式渠道傳播。然而,我們歡迎研究人員在其交流內(nèi)容或出版物中引用已發(fā)布的通用漏洞披露 (CVE) 信息。
您可以在我們的社區(qū)門戶中查看以往發(fā)布的安全公告(需要登錄)。您可以根據(jù)產(chǎn)品類別篩選安全公告。關(guān)于本主題的更多詳細信息,可在此處查看。
您可在此處注冊,以便在新安全公告發(fā)布時接收電子郵件通知。您將能夠查看所有已發(fā)布的安全公告,但只有在訂閱通知時選擇的產(chǎn)品類別中有新公告發(fā)布時,才會收到通知。
漏洞賞金計劃
將于 2026 年推出
一般問題
我們的產(chǎn)品安全事件響應團隊 (PSIRT) 負責管理公司產(chǎn)品中安全漏洞的識別、評估與解決工作。我們會與研究人員、客戶及合作伙伴協(xié)作,以確保及時修復漏洞并開展透明溝通。
我們結(jié)合行業(yè)標準與內(nèi)部評估來確定漏洞修復的優(yōu)先級。We utilize the Common Vulnerability Scoring System (CVSS) 4.0, which enables us to assess the severity of each issue. 嚴重漏洞享有至高優(yōu)先級,我們致力于在 90 天內(nèi)完成其披露與修復工作。
是的,我們是 CNA(通用漏洞披露編號機構(gòu))。This enables us to assign CVEs to confirmed vulnerabilities when appropriate, facilitating the public disclosure of security issues. 我們會在每份安全公告中包含相關(guān)的 CVE 編號。
我們高度重視數(shù)據(jù)隱私保護。漏洞報告會被保密處理、安全存儲,且僅與參與漏洞修復的團隊成員共享。請使用我們的 PSIRT PGP 密鑰進行加密提交。詳情請參閱我們的《安全漏洞披露政策》和《隱私聲明》。
