威綸科技(以下簡稱威綸)重視產品安全與客戶營運安全。我們鼓勵善意通報者透過本頁所述管道,通報可能影響威綸產品的安全弱點。
為降低客戶面臨零日攻擊的風險,我們支持協調式漏洞揭露,並會依據 IEC 62443-4-1 的精神,追蹤、分析、修補與揭露經確認的安全弱點。
威綸承諾:對於遵守本政策、以善意進行安全研究並依協調式漏洞揭露流程通報的人員,威綸科技不會因其安全測試或漏洞通報行為提起法律訴訟或要求執法機關追究責任。適用條件如下:
如發現可能影響 威綸產品的安全問題,請透過 漏洞通報表單 提交,或透過專用信箱: psirt@weintek.com 與威綸聯絡。
我們接受匿名通報。為了保護敏感的漏洞資訊不外洩,強烈建議您使用 PGP 公鑰 [8D84 07B7 D03D B864 3FBC B996 C566 3499 05B1 D7A1] 對通報內容進行加密傳輸。威綸會在七個工作天內對收到的報告做出回應(以台灣台北時間為準)。
為協助我們快速驗證,請盡可能提供:
威綸不要求通報者在提交漏洞通報前簽署保密協議(NDA)。對符合下列條件的善意安全研究與通報,我們承諾不會因其安全測試或漏洞通報行為提起法律訴訟或要求執法機關追究責任:
禁止事項(Prohibited Actions): 為保護客戶與第三方,通報者不得從事下列行為:
若測試過程中意外接觸到非公開資料、造成服務影響或發現可能造成即時風險,應立即停止測試、避免進一步存取或分享資料,並立即通報威綸。
威綸確認收到通報後,對漏洞建立追蹤案件,並視需要請通報者補充資訊。評估通報內容是否為產品安全事件,分析受影響範圍、重現條件、嚴重度與客戶風險。
威綸與負責團隊擬定修補、更新、設定調整、緩解措施或其他風險降低方案。在此期間,威綸與通報者保持定期溝通,以通知當前進度,並確保通報者理解威綸的處理狀態與預計時程。若有合適的修補程式,可能會向通報者提供軟體修補程式的預發行版本以進行驗證。
在問題成功分析且若有必要進行修補以因應漏洞後,威綸將開發對應的修補程式並準備發布。將使用現有的客戶通知流程來管理修補程式的發布。
安全通知通常會視情況包含漏洞描述、CVSS 評分、CVE 編號、受影響產品與版本、修補版本、緩解措施、替代控制方式、客戶建議行動,以及明確的發布日。