我们检测到您正在使用不支持的浏览器. 为了获得最好的体验,请使用Chrome, Firefox, Safari或Edge访问该网站. X

当涉及到安全的时候,永远不要说永远. 同时,实施良好的安全实践对保护信息有重要的贡献, 凭证, 知识产权或资产, 没有完美的解决方案可以使一个系统或产品不可能被攻击. 因为我们产品的安全性对我们和我们的客户来说是至关重要的, 我们认真对待任何关于潜在安全漏洞的报告.

微芯片产品安全事故响应小组(PSIRT)负责接收和响应有关我们产品中潜在安全漏洞的报告, 以及任何相关的硬件, 软件, 固件, 和工具. 一旦收到报告, PSIRT将采取必要的步骤来审查该问题,并确定可能需要采取哪些措施来解决对我们产品的任何潜在影响.

按照以下步骤报告潜在的安全漏洞


只发送英文邮件到 psirt@微芯片.com 尽可能多地包含信息:

  • 你的联系信息
  • 带有任何版本或修订号的产品名称
  • 发现漏洞的人的名字
  • 检测到漏洞的日期以及如何发现漏洞的详细信息
  • 潜在漏洞的详细技术描述
  • 潜在利用的详细描述
  • 通用漏洞评分系统(CVSS)评分 如果可能的话

由于交换信息的敏感性, Microchip PSIRT强烈建议,所有的安全漏洞报告在提交之前,都使用Microchip PSIRT PGP/GPG密钥加密:

使用这些链接访问自由软件,阅读和编写PGP/GPG加密消息:

微芯片的PSIRT如何响应报告


微芯片的PSIRT将使用以下步骤来响应潜在安全漏洞的报告:

  1. 通知:微芯片收到报告并确认收到信息
  2. 审查:微芯片审阅所提供的资料,以确定微芯片产品是否确实受到影响,以及报告中是否有足够的资料可展开调查
  3. 分析:一旦收到所有必要的信息, 微芯片公司对报告的潜在漏洞进行了深入的技术调查
    1. 微芯片也使用CVSS v3.1,对漏洞进行评分,以便优先进行分析和补救
    2. 如果需要,还可以创建CVE ID
  4. 纠正措施:验证安全漏洞, 微芯片采取了适当的措施来解决这个问题
  5. 信息披露:微芯片在适当的情况下传播有关已验证漏洞的信息,并可在安全咨询或公告中提供有关补救措施的详细信息

我们对报告漏洞的回应


收到日期报告 记者 技术 简要描述 解决日期
2020年7月17日, IO活跃 图书馆 CryptoAuth Lib (v3中的多个问题.2.1),缓冲溢出在废弃的USB HALs和堆栈溢出在USB枚举 2020年9月14日
2020年10月23日 Forescout IDE MPLAB®和谐网络栈,TCP初始序列号(ISN)生成 2020年11月1日

我们负责任的披露政策


Microchip PSIRT遵循一个协调的漏洞责任披露政策,您应该在提交报告之前审查该政策. 它是基于 CERT® 协调漏洞披露指南,它描述了期望的本质和Microchip与您之间的关系.

媒体调查


如果你是媒体的一员, 如果您对微芯片产品的安全性有任何疑问,请发送至 PR@微芯片.com.