漏洞披露政策
IAR Systems® 欢迎对我们任何产品中的漏洞进行负责任的披露。我们邀请安全研究人员通过电子邮件与我们私下联系,提供发现的漏洞详细信息,必要时可以使用我们下面的公钥通过 Open PGP 对敏感信息进行加密。
请在 IAR Systems 同意发布之前,避免广泛公开漏洞信息。发布可能需要等到安全补丁成功推出并且受影响的客户得到保护后才可进行。
我们的联系方式可以在 "security.txt"文件中找到,文件中包含电子邮件地址 security-alert@iar.com 以及我们的 GPG 公钥 您可以使用该公钥加密漏洞信息。
我们会在收到您的电子邮件并完成漏洞评估后尽量在一周内联系您。但请注意,我们可能需要与使用我们产品的其他供应商协调漏洞披露,因此我们请求您耐心等待——这对于负责任的披露和所有人的利益都是必要的。
如果您在我们的某个产品中发现漏洞并导致发布安全补丁,且您愿意,我们将公开感谢您在识别漏洞方面的帮助,您将会在安全通告和/或本网站上看到相关的公开致谢。
相关产品包括:
- IAR Embedded Workbench®
- IAR Build Tools™
- IAR Visual State™
- IAR Flash Tool
- IAR Visual Studio Code extensions
- IAR Embedded Trust®
- IAR Embedded Secure IP™
- Secure Desktop Provisioner™
- Secure Deploy-Prototyping
参考资料:
- IAR Systems® "security.txt"
- IAR Systems® GPG public key
- ISO/IEC 29147:2018 Vulnerability disclosure
- ISO/IEC 30111:2019 Vulnerability handling processes
- Code of Practice for Consumer IoT Security, UK Government : Department for Digital, Culture, Media & Sport
