報(bào)告潛在的產(chǎn)品安全漏洞

TI 非常重視產(chǎn)品的安全性。然而，我們都知道，無(wú)論在產(chǎn)品安全領(lǐng)域投入多少精力，也沒(méi)有一項(xiàng)產(chǎn)品或客戶(hù)系統(tǒng)可以保障百分百安全。TI 希望了解影響我們產(chǎn)品的任何潛在安全問(wèn)題，以便可以采取必要的措施及時(shí)解決這些問(wèn)題。TI 的產(chǎn)品安全事件響應(yīng)團(tuán)隊(duì) (PSIRT) 負(fù)責(zé)監(jiān)督接受和響應(yīng)涉及 TI 半導(dǎo)體產(chǎn)品（包括硬件、軟件和文檔）潛在安全漏洞報(bào)告的流程。

您可以通過(guò) psirt@ti.com 聯(lián)系 TI PSIRT，報(bào)告潛在的安全漏洞。您的報(bào)告應(yīng)使用英文編寫(xiě)。TI 將及時(shí)做出響應(yīng)，確認(rèn)已收到您的電子郵件。

漏洞信息非常敏感。TI PSIRT 強(qiáng)烈建議在發(fā)送時(shí)使用 TI PSIRT PGP/GPG 密鑰對(duì)所有提交的安全漏洞報(bào)告進(jìn)行加密：

• 指紋：898C ECC3 451F 9438 D972 06B6 4C13 1A0F 9AF0 04D8
• 公共密鑰文件（ZIP、3KB）

?

可從以下位置獲取用于閱讀或撰寫(xiě) PGP/GPG 加密郵件的免費(fèi)軟件：

• Gpg4win
• GnuPG

為了幫助 TI PSIRT 對(duì)潛在安全漏洞進(jìn)行分類(lèi)，我們建議您提供以下信息：

• 可能會(huì)受到影響的 TI 硬件或軟件產(chǎn)品（包括版本或修訂版本）
• 發(fā)現(xiàn)潛在漏洞的方式和時(shí)間，以及發(fā)現(xiàn)漏洞的人員
• 潛在漏洞的技術(shù)說(shuō)明，包括任何相關(guān)的 (1) 已知漏洞和 (2) 現(xiàn)有 CVE ID
• 您的聯(lián)系信息，以便 TI 能提出任何必要的后續(xù)問(wèn)題

報(bào)告提交之后，TI 將遵循以下流程來(lái)評(píng)估潛在安全漏洞并做出響應(yīng)：

1. 通知：TI 發(fā)現(xiàn)潛在安全漏洞。
2. 初始鑒別分類(lèi)：TI 查看提交的報(bào)告，確定 TI 產(chǎn)品是否會(huì)受到影響以及是否獲取了足夠的信息。
3. 技術(shù)分析：TI 從技術(shù)層面更深入地研究報(bào)告的潛在漏洞。^[1]
4. 補(bǔ)救措施：TI 針對(duì)核實(shí)的產(chǎn)品安全漏洞采取合適的措施。
5. 披露：在合適的情況下，TI 會(huì)披露關(guān)于已核實(shí)漏洞的信息，并可能提供補(bǔ)救措施，例如通過(guò)安全通報(bào)或公告。

?

^{[1] TI 將使用 CVSS（常見(jiàn)漏洞評(píng)分系統(tǒng)）v3.0 對(duì)漏洞進(jìn)行評(píng)分，以便正確地確定漏洞的優(yōu)先級(jí)來(lái)進(jìn)行分析和補(bǔ)救。根據(jù)需要?jiǎng)?chuàng)建漏洞的 CVE（常見(jiàn)漏洞和風(fēng)險(xiǎn)）ID。}

與大多數(shù)技術(shù)行業(yè)中的做法一樣，TI PSIRT 會(huì)遵循負(fù)責(zé)任的處理策略。我們的策略介紹了 TI 采取的措施以及我們對(duì)您的期望。它以《CERT? 協(xié)調(diào)漏洞披露指南》為基礎(chǔ)。在您提交報(bào)告之前，請(qǐng)查看我們的策略，它明確了我們的處理依據(jù)。

您可以在下面找到有關(guān)安全漏洞和可用仲裁的公開(kāi)信息。

TI PSIRT 會(huì)在適當(dāng)?shù)那闆r下公開(kāi)披露信息；它不包括我們處理過(guò)的所有事件。有關(guān)特定事件的查詢(xún)，請(qǐng)聯(lián)系?psirt@ti.com。

有關(guān) TI 產(chǎn)品安全性的媒體咨詢(xún)，請(qǐng)?jiān)L問(wèn) news.ti.com。