通報安全漏洞

立錡科技高度重視產品安全與漏洞，並積極且妥善回應所有安全通報。

通報詳情

• 受影響的產品和軟件版本
• 安全漏洞概述 (例如：緩衝區溢出、整數溢出等)
• 問題描述及影響 (例如：任意代碼執行、資訊洩漏等)
• 有關如何復現問題的說明指引
• 概念驗證 (PoC)

請將安全報告提交至： security@richtek.com

漏洞發佈

我們向客戶發佈產品安全漏洞與相關漏洞修補完成資訊。這類資訊通常會包含安全漏洞通報者之資訊，除非該通報者另有請求。

常見問答集

• 立錡科技多久內會解決安全漏洞的問題？
  
  
  
  我們的目標是在90天內解決安全漏洞問題，並將其傳達給我們的利害關係人。雖然我們致力符合這樣的期限，但仍可能存在不可預見的因素，但我們將盡最大努力讓您在適當時機知道最新狀態。

• 我需要簽署保密協議嗎？
  
  不需要。

• 我可以匿名提交漏洞報告嗎
  
  
  
  可以，如果您希望保持匿名，我們尊重您的隱私。我們僅需您的電子郵件讓我們可以回覆即可，不需要您的姓名或其它個人可識別資訊，之後若有任何進一步溝通，我們也不會記錄您的身份。

• 立錡科技如何評級漏洞等級？
  
  
  
  立錡科技目前基於通用漏洞評分系統3.1版 (CVSS v3.1)，對於已識別漏洞的嚴重性進行評級及評估。在特定的情況下，若有不在CVSS範圍內的評估因素，我們將保留調整這些準則的權利。

• 我可以使用加密通訊來提交漏洞報告？
  
  
  
  可以，請使用 我們的PGP Public Key 將已加密的漏洞報告提交至 security@richtek.com .

揭露政策

立錡科技一向致力於設計和提供安全可靠的創新產品。我們相信讓客戶可以安心使用立錡科技的產品至關重要，客戶數據之機密性和完整性可藉由包括但不限於提供即時的資訊、指引和修復產品漏洞得到保護。為了最大限度地提升分析、修復和揭露與我們產品相關的安全漏洞之效率，我們敦促安全研究人員遵循本漏洞揭露政策(下稱「VDP」)來提交您所發現的安全漏洞報告。.

安全漏洞報告提交原則

• 安全漏洞須與立錡科技之技術有關。

• 安全問題須立錡科技尚未知悉且僅限與立錡科技溝通。

• 於安全漏洞尚未揭露期間，所有與該安全問題相關之資訊都必須保密。

• 應誠信地努力避免侵犯隱私、破壞產品生態環境、及毀壞或竄改數據。

• 安全漏洞提交可能額外受到適用法律的限制。

• 您的測試不應違反任何法律，也不得破壞或影響任何不屬於您的資料或數據。此安全漏洞揭露政策符合一般漏洞揭露慣例，不允許以任何違反法律或可能導致違反法律義務的方式行事。

• 我們保留自行決定提交資格的權利。

您可以預期

• 我們致力於收到首次報告後的3到5個工作日內回應，若您於提交首次報告一週後仍沒有收到我們的回覆，請再次提交給我們

• 我們會盡最大努力解決安全漏洞，包括但不限於在90天內向我們的OEM合作夥伴提供修補程式，並視情形必要時與利害關係人進行溝通。

安全漏洞嚴重程度

立錡科技目前基於通用安全漏洞評分系統3.1版 (CVSS v3.1)，對於已識別之安全漏洞的嚴重性進行分級與評估。在特定情況下，若有不在CVSS範圍內的評估因素，我們將保留調整這些準則的權利。

免責聲明

我們保留權利未經通知可隨時修改或更新本VDP及相關之安全漏洞揭露流程。其它法律要點請參閱 法律聲明 與 隱私權政策。