-875.jpg)
兆易创新产品安全事件响应团队(PSIRT)
关于兆易创新 PSIRT
兆易创新(GigaDevice)高度重视产品安全。为此,我们成立了专门的产品安全事件响应团队(PSIRT),负责接收和响应与兆易创新半导体产品(包括硬件、软件和文档)相关的潜在安全漏洞报告。
如何报告安全漏洞
联系方式
您可以通过以下方式向兆易创新 PSIRT 报告安全漏洞:
电子邮件: psirt@gigadevice.com
在线表单 报告产品安全漏洞
语言: 建议使用英文或中文提交报告
加密通信
漏洞信息极为敏感。兆易创新 PSIRT 强烈建议报告者使用 PGP/GPG 密钥对漏洞报告进行加密。
PGP 公钥信息:
Gpg4win (Windows)
GnuPG(跨平台)
建议在报告中包含的信息
为了帮助兆易创新 PSIRT 对潜在安全漏洞进行分类和评估,建议您提供以下信息:
漏洞详细信息
漏洞的详细说明及检测到的日期
潜在漏洞利用情况的说明
受影响的产品、型号及版本(如 GD32 系列 MCU、GD25 Flash 等)
软件版本信息(如 SDK、RTOS 版本及补丁级别)
问题描述及影响(例如:信息泄露、权限提升等)
复现信息
重现问题的步骤说明
概念验证(PoC),包括:
示例代码或脚本
截图或视频演示
测试文件
支持材料或参考资料
其他信息
预期的正确行为或解决方法建议
通用漏洞评分系统(CVSS)3.1 分数(如可能)
任何已发布的公开信息(CVE、学术论文)或披露计划
您的联系方式(用于处理过程中沟通)
报告处理流程
提交后,兆易创新 PSIRT 将按照以下流程管理报告的潜在安全漏洞:
接收确认: 兆易创新 PSIRT 将及时回复以确认收到您的报告。
评估: 兆易创新 PSIRT 将评估潜在漏洞,进行分析并设定优先级。若原始报告中缺少某些信息或需要澄清,我们可能会与您联系。
解决: 兆易创新 PSIRT 将调查解决方案和缓解措施以解决有效问题。
披露: 在适当情况下,兆易创新将根据协调漏洞披露(CVD)原则发布安全公告,提供修复方案和缓解措施,并在公告中致谢贡献者(如您同意)。
重要通知
授权与许可:
通过向兆易创新提交安全漏洞报告,您确认并同意:
您有权提交该报告(包括代表您的雇主及关联方)
您授予兆易创新使用该报告的权利,用于安全漏洞分析、测试、修正、补丁开发、安全公告发布及其他相关安全目的
保密承诺:
兆易创新 PSIRT 将对您的报告内容严格保密,仅与必要的技术和管理人员分享,并在未经您同意的情况下不会公开您的身份。
