漏洞披露政策
1。简介
Synaptics致力于我们产品的安全性。如果发现漏洞,我们将与OEM合作伙伴一起解决该漏洞并发布更新。本文档介绍了向Synaptics提交有关我们产品中潜在安全漏洞的报告的过程,以及将客户和其他受影响的实体告知已验证漏洞的做法。
2。与Synaptics联系以获取潜在漏洞
通过发送电子邮件至 PSIRT@synaptics.com 我们的一种产品中潜在的安全漏洞。您的报告将得到审核,如有需要,相关人员将与您联系以跟进。我们将努力在2个工作日内确认收到您的报告,并在7个工作日内提供初步答复。
请不要在未事先征得该用户的知情同意并作出适当加密和保护该信息的安排之前,在报告中包括任何可能侵犯任何用户隐私的数据,然后再将其提交给Synaptics。    Synaptics不对未经Synaptics的请求或同意而提交给Synaptics的此类个人信息承担任何责任。
PSIRT@synaptics.com is ONLY intended for reports of potential security vulnerabilities specific to Synaptics’ products. No commercial solicitation or technical support requests will be accepted at this address.
3。安全公告
如果存在与我们产品有关的安全公告,则这些公告将发布在我们的网站www.synaptics.com上“产品”标题下“产品”标题下或“应用程序”标题下“应用程序”页面的“相关资产”表中。例如: https://www.synaptics.com/products/touchpad-family 。
通常,当与OEM客户协调发布针对特定漏洞的实际解决方法或修复程序时,我们将发布咨询。
在第三方(例如安全研究人员)通知我们潜在的漏洞的情况下,我们将调查并可能与该第三方一起发布协调披露。如果根据保密协议收到报告,我们仍将与OEM一起发布安全修复程序,但可能只能提供有关该漏洞的有限信息。
Synaptics努力在报告此类漏洞或问题后的90天的行业标准时间内解决漏洞和其他问题。在适当的情况下,通常是在许多OEM或第三方受到影响且需要协调响应的情况下,我们可能会要求额外的时间来解决问题。
4。严重程度和影响
Synaptics在遵循最新版本的通用漏洞评分系统(CVSS)的情况下,遵循行业标准的实践来评估和报告漏洞的潜在影响。有关CVSS系统的详细信息可以找到here.
我们的通报通常记录受漏洞影响的已知Synaptics产品列表,以及获取修补程序或解决方法的适当路径。在大多数情况下,这将通过我们的OEM合作伙伴或生态系统更新机制(例如Windows Update)进行。
如果可能,我们将列出产品的所有受影响版本。但是,OEM合作伙伴可能已经发售了我们产品的不同版本,这可能会导致Synaptics不了解已发布给公众的版本的完整列表。因此,我们的咨询可以参考“在< date>之前发布的版本”,或“在< date>之间发布的版本。和< date>”。如果需要更多详细信息,请联系PSIRT@synaptics.com.
5。致谢
在适用且经许可的情况下,Synaptics将感谢漏洞研究者或发现者,并感谢他们为改进我们的产品所做的努力。