威綸科技產品安全漏洞通報處理與揭露流程

威綸科技(以下簡稱威綸)重視產品安全與客戶營運安全。我們鼓勵善意通報者透過本頁所述管道,通報可能影響威綸產品的安全弱點。

為降低客戶面臨零日攻擊的風險,我們支持協調式漏洞揭露,並會依據 IEC 62443-4-1 的精神,追蹤、分析、修補與揭露經確認的安全弱點。

威綸承諾:對於遵守本政策、以善意進行安全研究並依協調式漏洞揭露流程通報的人員,威綸科技不會因其安全測試或漏洞通報行為提起法律訴訟或要求執法機關追究責任。適用條件如下:

  • 在不傷害任何人的情況下進行系統測試/研究。
  • 在不影響客戶的情況下對產品進行測試,或在對其產品/軟體等進行漏洞測試之前獲得客戶的許可/同意。
  • 遵守適用法律。
  • 進行協調式揭露,在雙方另行書面(含email)約定的期限屆滿前,不向公眾揭露漏洞細節、利用程式或可造成攻擊的資訊。
  • 避免對任何人的安全或隱私造成影響。

威綸的漏洞處理揭露流程包含以下四個步驟:

1. 通報

如發現可能影響 威綸產品的安全問題,請透過 漏洞通報表單 提交,或透過專用信箱: psirt@weintek.com 與威綸聯絡。

我們接受匿名通報。為了保護敏感的漏洞資訊不外洩,強烈建議您使用 PGP 公鑰 [8D84 07B7 D03D B864 3FBC B996 C566 3499 05B1 D7A1] 對通報內容進行加密傳輸。威綸會在七個工作天內對收到的報告做出回應(以台灣台北時間為準)。

為協助我們快速驗證,請盡可能提供:

  • 漏洞說明、影響範圍與可能攻擊情境。
  • 受影響產品、型號、軟體版本、韌體或 OS 版本。
  • 重現步驟、測試環境、特殊設定、封包紀錄、截圖或概念驗證程式碼。
  • 漏洞是否已公開、是否已通報其他廠商或協調單位。
  • 建議的 CVSS 評分、CVE 編號或其他可協助驗證的資訊。

威綸不要求通報者在提交漏洞通報前簽署保密協議(NDA)。對符合下列條件的善意安全研究與通報,我們承諾不會因其安全測試或漏洞通報行為提起法律訴訟或要求執法機關追究責任:

  • 遵守適用法律,且未以不正當方式取得、修改、刪除或外洩資料。
  • 測試行為未傷害任何人、未影響客戶系統、未破壞服務可用性,且未危及安全、隱私或工控現場運作。
  • 僅在自有環境、授權環境,或已取得系統擁有者同意的環境中進行測試。
  • 以協調式漏洞揭露方式與威綸合作,在雙方另行書面(含email)約定的揭露時間前,不公開漏洞細節、利用程式或可造成攻擊的資訊。
  • 在發現可能造成即時風險、資料曝露或營運影響時,立即停止測試並通報威綸。

禁止事項(Prohibited Actions): 為保護客戶與第三方,通報者不得從事下列行為:

  • 未經授權存取、取得、修改、刪除、外洩或保留任何個人資料、客戶資料、機密資料或第三方資料。
  • 發動或嘗試任何可能中斷、降低或影響線上營運系統穩定性的行為。
  • 使用社交工程、釣魚、垃圾郵件、威脅、勒索、實體入侵,或針對員工、客戶、合作夥伴及第三方的人員測試。
  • 在未取得明確授權前,測試客戶環境、第三方系統、雲端服務或非通報者所有/控制的設備。

若測試過程中意外接觸到非公開資料、造成服務影響或發現可能造成即時風險,應立即停止測試、避免進一步存取或分享資料,並立即通報威綸。

2. 分析

威綸確認收到通報後,對漏洞建立追蹤案件,並視需要請通報者補充資訊。評估通報內容是否為產品安全事件,分析受影響範圍、重現條件、嚴重度與客戶風險。

3. 處理

威綸與負責團隊擬定修補、更新、設定調整、緩解措施或其他風險降低方案。在此期間,威綸與通報者保持定期溝通,以通知當前進度,並確保通報者理解威綸的處理狀態與預計時程。若有合適的修補程式,可能會向通報者提供軟體修補程式的預發行版本以進行驗證。

4. 揭露

在問題成功分析且若有必要進行修補以因應漏洞後,威綸將開發對應的修補程式並準備發布。將使用現有的客戶通知流程來管理修補程式的發布。

安全通知通常會視情況包含漏洞描述、CVSS 評分、CVE 編號、受影響產品與版本、修補版本、緩解措施、替代控制方式、客戶建議行動,以及明確的發布日。


修訂紀錄表

  • V1.0 (2026-07-02):新版發行