漏洞披露政策
IAR Systems®欢迎各界以负责任的方式向我们披露产品中存在的安全漏洞。我们诚挚邀请安全研究人员通过邮件与我们进行私下沟通,详尽提供所发现漏洞的相关细节。
请在 IAR Systems 同意发布之前,避免广泛公开漏洞信息。发布可能需要等到安全补丁成功推出并且受影响的客户得到保护后才可进行。
如您需就漏洞相关事宜进行咨询,请通过以下邮箱与我们联系:security-alert@iar.com。
我们将在完成漏洞初步评估后,于一周内回复您的邮件。请注意,我们可能需要与使用我们产品的其他合作方协调漏洞披露事宜,因此烦请您予以理解与耐心——此举旨在通过协作实现负责任的披露,最终惠及所有相关方。
若您在我们产品中发现的漏洞最终促成了安全补丁的发布,且您希望获得公开致谢,我们将在相应的安全公告及/或本公司官网上署名感谢您为识别该漏洞所作出的贡献。
相关产品包括:
- IAR Embedded Workbench®
- IAR Build Tools™
- IAR Visual State™
- IAR Visual Studio Code extensions
- IAR Embedded Trust®
- IAR Embedded Secure IP™
- Secure Desktop Provisioner™
- Secure Deploy-Prototyping
参考资料:
- ISO/IEC 29147:2018 Vulnerability disclosure
- ISO/IEC 30111:2019 Vulnerability handling processes
- Code of Practice for Consumer IoT Security, UK Government : Department for Digital, Culture, Media & Sport
