通报安全漏洞

立锜科技高度重视产品安全与漏洞，并积极且妥善回应所有安全通报。

通报详情

• 受影响的产品和软件版本
• 安全漏洞概述 (例如：缓冲区溢出、整数溢出等)
• 问题描述及影响 (例如：任意代码执行、信息泄漏等)
• 有关如何复现问题的说明指引
• 概念验证 (PoC)

请将安全报告提交至： security@richtek.com

漏洞发布

我们向客户发布产品安全漏洞与相关漏洞修补完成信息。这类信息通常会包含安全漏洞通报者之信息，除非该通报者另有请求

常见问答集

• 立锜科技多久内会解决安全漏洞的问题？
  
  
  
  我们的目标是在90天内解决安全漏洞问题，并将其传达给我们的利害关系人。虽然我们致力符合这样的期限，但仍可能存在不可预见的因素，但我们将尽最大努力让您在适当时机知道最新状态。

• 我需要签署保密协议吗？
  
  不需要。

• 我可以匿名提交漏洞报告吗？
  
  
  
  可以，如果您希望保持匿名，我们尊重您的隐私。我们仅需您的电子邮件让我们可以回复即可，不需要您的姓名或其它个人可识别信息，之后若有任何进一步沟通，我们也不会记录您的身份。

• 立锜科技如何评级漏洞等级？
  
  
  
  立锜科技目前基于通用漏洞评分系统3.1版 (CVSS v3.1)，对于已识别漏洞的严重性进行评级及评估。在特定的情况下，若有不在CVSS范围内的评估因素，我们将保留调整这些准则的权利。

• 我可以使用加密通讯来提交漏洞报告？
  
  
  
  可以，请使用 我们的PGP Public Key 将已加密的漏洞报告提交至 security@richtek.com .

揭露政策

立锜科技一向致力于设计和提供安全可靠的创新产品。我们相信让客户可以安心使用立锜科技的产品至关重要，客户数据之机密性和完整性可藉由包括但不限于提供实时的信息、指引和修复产品漏洞得到保护。为了最大限度地提升分析、修复和揭露与我们产品相关的安全漏洞之效率，我们敦促安全研究人员遵循本漏洞揭露政策(下称「VDP」)来提交您所发现的安全漏洞报告。

安全漏洞报告提交原则

• 安全漏洞须与立锜科技之技术有关。

• 安全问题须立锜科技尚未知悉且仅限与立锜科技沟通。

• 于安全漏洞尚未揭露期间，所有与该安全问题相关之信息都必须保密。

• 应诚信地努力避免侵犯隐私、破坏产品生态环境、及毁坏或窜改数据。

• 安全漏洞提交可能额外受到适用法律的限制。

• 您的测试不应违反任何法律，也不得破坏或影响任何不属于您的数据或数据。此安全漏洞揭露政策符合一般漏洞揭露惯例，不允许以任何违反法律或可能导致违反法律义务的方式行事。

• 我们保留自行决定提交资格的权利。

您可以预期

• 我们致力于收到首次报告后的3到5个工作日内响应，若您于提交首次报告一周后仍没有收到我们的回复，请再次提交给我们。

• 我们会尽最大努力解决安全漏洞，包括但不限于在90天内向我们的OEM合作伙伴提供修补程序，并视情形必要时与利害关系人进行沟通。

安全漏洞严重程度

立锜科技目前基于通用安全漏洞评分系统3.1版 (CVSS v3.1)，对于已识别之安全漏洞的严重性进行分级与评估。在特定情况下，若有不在CVSS范围内的评估因素，我们将保留调整这些准则的权利。

免责声明

我们保留权利未经通知可随时修改或更新本VDP及相关之安全漏洞揭露流程。其它法律要点请参阅 法律声明 and 隐私权政策 for other legal points.