安全漏洞揭露政策

初版: 2021年8月5日 | 最後更新: 2022年12月20日
聯發科技一向致力於設計和提供安全可靠的創新產品。我們相信讓客戶可以安心使用聯發科技的產品至關重要,客戶數據之機密性和完整性可藉由包括但不限於提供即時的資訊、指引和修復產品漏洞得到保護。為了最大限度地提升分析、修復和揭露與我們產品相關的安全漏洞之效率,我們敦促安全研究人員遵循本漏洞揭露政策(下稱「VDP」)來提交您所發現的安全漏洞報告。


安全漏洞報告提交原則

  • 安全漏洞須與聯發科技之技術有關。
  • 安全問題須聯發科技尚未知悉且僅限與聯發科技溝通。
  • 於安全漏洞尚未揭露期間,所有與該安全問題相關之資訊都必須保密。
  • 應誠信地努力避免侵犯隱私、破壞產品生態環境、及毀壞或竄改數據。
  • 當不同研究人員提交相同的安全問題,僅首位研究人員會被列於我們的 產品安全致謝
  • 安全漏洞提交可能額外受到適用法律的限制。
  • 您的測試不應違反任何法律,也不得破壞或影響任何不屬於您的資料或數據。此安全漏洞揭露政策符合一般漏洞揭露慣例,不允許以任何違反法律或可能導致違反法律義務的方式行事。
  • 我們保留自行決定提交資格的權利。


您可以預期

  • 我們致力於收到首次報告後的3到5個工作日內回應,若您於提交首次報告一週後仍沒有收到我們的回覆,請再次提交給我們。
  • 我們會盡最大努力解決安全漏洞,包括但不限於在90天內向我們的OEM合作夥伴提供修補程式,並視情形必要時與利害關係人進行溝通。
  • 我們會授予已解決之聯發科技產品相關安全問題CVE編號,但不包括第三方軟件等超出聯發科技所可控制範圍外之問題。雖然我們目前不提供金錢獎勵,若您依據本VDP所提報給我們之安全漏洞嚴重性為中、高或嚴重,我們會提供 產品安全致謝


通報潛在之安全漏洞


安全漏洞嚴重程度

  • 聯發科技目前基於通用安全漏洞評分系統3.1版 (CVSS v3.1),對於已識別之安全漏洞的嚴重性進行分級與評估。在特定情況下,若有不在CVSS範圍內的評估因素,我們將保留調整這些準則的權利。


免責聲明

  • 我們保留權利未經通知可隨時修改或更新本VDP及相關之安全漏洞揭露流程。其它法律要點請參閱 法律聲明隱私權政策