一、目的

本公司致力於確保我們產品和服務系統的安全性和穩定性。我們歡迎合作夥伴和獨立安全研究人員依本政策向我們的產品資安事件應變團隊(PSIRT)報告任何可能影響我們產品或服務相關安全性之漏洞。

二、漏洞定義

指未經授權就可以直接影響產品運作系統或服務安全性的任何錯誤、缺陷、漏洞或其他問題。

三、適用範圍

本政策適用於公司所有產品、對外提供服務之伺服器。

四、漏洞報告需知

安全研究人員可以通過以下方式報告漏洞：
請寄送郵件至 [email protected] 提交資訊。如果您希望保護您提交的內容，請下載並使用此 PGP 金鑰.

為提供有效的回應，漏洞報告應包括以下信息：

• 具體產品型號及韌體版本或哪一台伺服器。
• 漏洞描述：詳細描述漏洞的原理及證明(PoC)。
• 重現步驟：提供必要工具，代碼及步驟以有效的協助重現問題。
• 漏洞影響：說明漏洞可能造成的影響。
• 聯繫方式：提供您的姓名、電子郵件地址和其他聯繫方式。

五、漏洞處理程序

公司將在收到漏洞報告後的一個工作日內確認收到報告。針對漏洞進行評估, 評估將遵照通用漏洞評分系統(CVSS)判定。評估時程取決於多項因素，例如: 嚴重性，複雜度，受影響範圍等等。漏洞一旦被確認為有效，公司將在30天內制定修復計劃，並在問題確認後的90天內提供解決方案。解決方案確認後將通知回報人員並請回報者可以開始申請 CVE ID。CVE ID確認後，會在 官網 對外揭漏問題及解決方案。例如，韌體版本資訊。

六、漏洞處理期間需遵守以下條約

• 在漏洞解決並發佈之前，請安全研究人員對發現的漏洞資訊保密。
• 禁止對本公司及使用者的系統或應用程式造成潛在或實際損害。
• 禁止利用漏洞查看未經授權的資料或破壞任何資料。

七、獎勵措施

公司將根據漏洞的嚴重程度和影響程度向安全研究人員提供獎勵，獎勵措施包括感謝信及贈品。

八、免責及保留權限

公司保留根據自己的判斷處理漏洞報告之權利，包括決定是否修復漏洞、修復漏洞的時間以及提供的獎勵方式。公司保留對本政策進行修改的權利。本政策的最終解釋權歸公司所有。