脆弱性信息披露政策
1.简介
Synaptics致力于我们产品的安全和保障。如果发现漏洞,我们将与OEM合作伙伴一起解决它并发布更新。本文档描述了向Synaptics提交关于我们产品中潜在安全漏洞的报告的过程,以及我们将已验证的漏洞通知客户和其他受影响实体的实践。
2.联系Synaptics了解潜在漏洞
通过发送电子邮件到Synaptics产品安全事件响应小组(PSIRT)联系PSIRT@synaptics.com如果您在我们的产品中发现了潜在的安全漏洞。您的报告将被审阅,如果需要,相关人员将与您联系跟进。我们将尽力在2个工作日内确认收到您的报告,并在7个工作日内提供初步答复。
请不要在您的报告中包含任何可能侵犯任何用户隐私的数据,除非事先获得该用户的知情同意,并在提交给Synaptics之前安排对该信息进行适当加密和保护。对于未经Synaptics请求或同意而提交给Synaptics的个人信息,Synaptics不承担任何责任。
PSIRT@synaptics.com仅针对Synaptics产品特有的潜在安全漏洞的报告。本地址不接受任何商业邀请或技术支持请求。
3.安全警告
如果有与我们产品相关的安全建议,这些建议将发布在我们的网站www.meditationtoys.com,在产品标题下的适用产品页面的相关资产表中,或在应用程序标题下的应用程序页面中。华体会最新下载网站例如://www.meditationtoys.com/products/touchpad-family.
一般情况下,当针对特定漏洞与OEM客户协调发布了实际的解决方案或修复程序时,我们将发布咨询。
如果第三方(如安全研究人员)通知我们潜在的漏洞,我们将进行调查,并可能与该第三方一起发布协调披露。如果我们在保密协议下收到报告,我们仍将与oem合作发布安全补丁,但可能只能提供有关漏洞的有限信息。
Synaptics努力在漏洞或问题报告后90天的行业标准时间内解决漏洞和其他问题。在适当的情况下,我们可能要求额外的时间来解决问题,通常是在许多oem或第三方受到影响,需要协调应对的情况下。
4.严重程度和影响
Synaptics在测量和报告漏洞的潜在影响方面遵循行业标准实践,遵循通用漏洞评分系统(CVSS)的当前版本。有关CVSS系统的详细信息可以找到在这里.
我们的建议通常记录了受漏洞影响的已知Synaptics产品的列表,以及获得修复或解决方案的适当路径。在大多数情况下,这将通过我们的OEM合作伙伴或生态系统更新机制,如Windows update。
如果可能,我们将列出所有受影响的产品版本。然而,有可能我们的OEM合作伙伴已经交付了不同版本的产品,这可能导致Synaptics不知道交付给公众的完整版本列表。因此,我们的建议可能是指“<日期>之前发布的版本”,或“<日期>和<日期>之间发布的版本”。如需进一步资料,可与本公司联络PSIRT@synaptics.com.
5.确认
在适当的情况下,在获得许可的情况下,Synaptics将承认漏洞的研究人员或发现者,并感谢他们为改进我们的产品所做的努力。