报告产品安全漏洞

报告潜在安全漏洞

如果您认为已在恩智浦产品中发现了潜在安全漏洞，请通过psirt@nxp.com联系PSIRT。恩智浦尽力在24小时内发送确认函，如此问题第一眼看上去并非非常重要，如适逢周末和假期，确认函发送时间可延长至72小时。如您未在规定时间内得到回应，请重新发送消息。消息必须用英文撰写并包含以下信息：

• 受影响的产品和版本
• 有关漏洞的详细说明
• 已知的漏洞利用信息

漏洞信息极为敏感。PSIRT强烈建议，采用PSIRT PGP/GPG密钥加密发送给恩智浦的所有安全漏洞报告。

PGP / GPG密钥

• 指纹：F334 338C 9849 2BA8 E034 0C4A E5B9 E804 301B CBE1
• PGP / GPG密钥：密钥

PGP/GPG加密消息软件可通过以下方式获得：

• GnuPG (免费)

PSIRT处理的安全事件范围

PSIRT处理的安全事件范围包含以下情况：

• 恩智浦产品(硬件或软件)中的安全事件。
• 有关恩智浦安全信息或建议的文档(如数据手册和应用说明)中的缺陷。
• 在不该出现的地方发现安全敏感的恩智浦文档或关于恩智浦的安全相关信息。
• 在不该出现的地方发现安全敏感的恩智浦产品。

漏洞处理流程

通过以下流程积极管理恩智浦产品的安全漏洞。响应时间根据此问题的范围而有所不同。此流程包括四大步骤：

报告：当PSIRT发现恩智浦产品的潜在安全漏洞时，此流程即时启动。报告人员在整个处理过程中会收到确认信息和更新信息。

评估：PSIRT确认潜在漏洞、评估风险、确定影响并分配处理优先级。如果漏洞被确认，则根据优先级确定如何通过整个流程的其他步骤来处理问题。

解决方案：与PSIRT携手合作，产品团队开发出可缓解所报告的安全漏洞的解决方案。解决方案将根据漏洞采取不同的形式。由于NXP产品的性质(大多数是固件位于ROM中的硅芯片产品)，很多时候解决方案仅可在下一版的芯片中提供，而短期解决方案将包括推荐安全措施，适用于采用恩智浦产品的系统。

通信：如上所述，由于恩智浦产品的性质，采用受影响产品系统的解决方案通常需要在这些系统的其他对策中找到。在大多数情况下，对受影响的客户进行的有关漏洞和解决方案的通信可直接完成。针对先前未知或未报告的问题，恩智浦将确认问题报告人员(除非报告人员另有要求)。

负责任的披露

恩智浦与漏洞报告人员协力合作，以确定如何负责任地进行披露。在该领域，现场升级/修补恩智浦产品的能力与使用电脑等完全不同。恩智浦的产品是带有嵌入式软件的芯片，通常部署在系统中，无法轻松 - 或根本不能轻松更新现场已部署的那些产品。

因此，一次负责任的披露往往需要较长时间或对披露信息进行限制(例如匿名披露：披露攻击的技术细节，而不会披露受影响的产品)。这是为了在恩智浦客户的系统由于漏洞披露受到影响之前，允许恩智浦客户有时间进行系统升级和缓解漏洞。

媒体中心

如果您是希望联系恩智浦了解其产品安全性的记者，请访问http://media.nxp.com