访问有关我们产品的安全信息
申请权限查看恩智浦 非 公开 信息.
产品安全漏洞
恩智浦产品安全事件响应团队(PSIRT)通过响应和记录报告的漏洞,并为客户提供有关影响、严重程度和缓解措施的明确指导,快速解决恩智浦产品中的安全漏洞。
PSIRT处理的安全事件范围
PSIRT处理的安全事件范围包含以下情况:
- 恩智浦产品(硬件或软件)中的安全事件。
- 有关恩智浦安全信息或建议的文档(如数据手册和应用说明)中的漏洞。
- 在不该出现的地方发现安全敏感的恩智浦文档或关于恩智浦的安全相关信息。
- 在不该出现的地方发现安全敏感的恩智浦产品。
PSIRT处理的安全事件范围不包含以下情况:
- 恩智浦IT系统中的漏洞(如恩智浦网站)不在此范围内,但您可以将这些漏洞发送到PSIRT,并将其发送到恩智浦相应的团队,分别进行处理。
- 任何其他支持或事件。请通过支持|恩智浦半导体联系恩智浦常用支持页面。PSIRT不会处理或回复有关产品支持和其他无关主题的电子邮件。
漏洞处理流程
通过以下流程积极管理恩智浦产品的安全漏洞。响应时间根据此问题的范围而有所不同。此流程包括四大步骤:
报告
报告人员在整个处理过程中会收到确认信息和更新信息。
评估
恩智浦确认潜在漏洞、评估风险、确定影响并分配优先级。
解决方案
在可行的情况下,恩智浦会针对报告的安全漏洞制定缓解策略和修复措施。
通信
在大多数情况下,恩智浦将直接与受影响的客户沟通。
报告潜在安全漏洞
如果您认为已在恩智浦产品中发现了潜在安全漏洞,请联系PSIRT。恩智浦力争在24小时内确认报告的漏洞(周末和节假日可能会延长至72小时,具体取决于紧急程度)。如您未在规定时间内收到回应,请重新发送消息。请用英文撰写并包含以下信息:
- 受影响的产品和版本
- 有关漏洞的详细说明
- 已知的漏洞利用信息
漏洞信息极为敏感。PSIRT强烈建议,采用PSIRT PGP/GPG密钥加密发送给恩智浦的所有安全漏洞报告。
PGP / GPG密钥
- 指纹:ADAE 9ED8 7714 2DAB 2E55 F447 D366 8C09 7CB6 66F9
- PGP / GPG密钥
- PGP/GPG加密消息软件可通过以下方式获得:GnuPG (免费)
无法回复发送给PSIRT的一般支持请求。请参阅支持页面,了解产品支持信息。
负责任的披露
恩智浦与漏洞报告人员协力合作,以确定如何负责任地进行披露。在该领域,现场升级/修补恩智浦产品的能力与使用电脑等完全不同。恩智浦的产品是带有嵌入式软件的芯片,通常部署在系统中,无法轻松 - 或根本不能轻松更新现场已部署的那些产品。
因此,一次负责任的披露往往需要较长时间或对披露信息进行限制(例如匿名披露:披露攻击的技术细节,而不会披露受影响的产品)。这是为了在恩智浦客户的系统由于漏洞披露受到影响之前,允许恩智浦客户有时间进行系统升级和缓解漏洞。
媒体中心
如果您是希望联系恩智浦了解其产品安全性的记者,请访问恩智浦新闻中心。