弱點披露政策
為確保 IEI 產品與服務之安全與穩定,特制定本公告書,明訂發現新弱點(包含 BMC 或其他韌體弱點)時之判定準則、處理方式及揭露原則。IEI 將基於弱點嚴重程度、客戶影響層面及修補可行性等因素,酌情發布安全公告並適時提供修補或因應措施,以維護客戶權益。茲說明如下:
我們如何分類安全弱點?
我們遵循通用 弱點評分系統 (CVSS) 來評估我們產品和服務中報告的弱點。弱點的優先級根據其 CVSS 風險等級進行分類:嚴重 (Critical)、高 (High)、中 (Medium) 或低 (Low)。
CVSS 分數 (以 CVSS v3.x 為主)
- 0.0–3.9:低風險(Low)
- 4.0–6.9:中風險(Medium
- 7.0–8.9:高風險(High)
- 9.0–10.0:嚴重風險(Critical)
影響範圍
- 受影響的客戶與產品數量。
- 是否涉及核心系統或功能(例如 BMC 弱點可遭遠端攻擊)。
可利用度
- 攻擊者或惡意程式利用弱點的難易度。
- 是否已有攻擊概念驗證(PoC)或公開可用的攻擊工具。
修補複雜度與替代方案
- 是否能直接提供修補程式、降低風險的措施或替代方案。
- 修補程式是否依賴第三方組件或特定客戶端環境設定。
處理流程:哪些弱點必須修補、回報、揭露或不進行修補
所有可能影響 IEI 產品和服務的安全性、穩定性或功能的弱點都必須根據以下標準進行評估:
| CVSS 分數 | 優先等級 | 行動 | 揭露方式 | 修補時程 |
|---|---|---|---|---|
| 9.0–10.0 (嚴重風險) | 最高優先級 | IEI 將立即投入資源研發修補程式或提供臨時因應措施。 | 於最短可行時程內發布安全公告,告知客戶風險與因應方式。 | 通常於 30–90 天內完成,視弱點複雜度而定;若情況更為緊急,將加速處理或先行推出臨時修補方案。 |
| 7.0–8.9 (高風險) | 必須修補 | 列入修補排程,僅次於嚴重風險弱點 | 一般在有正式修補程式或替代方案時,透過安全公告或客戶通知進行揭露。 | 通常於 90 天內完成;若涉及客製化產品或特殊機型,將依實際情況調整。 |
| 4.0–6.9 (中風險) | 個案評估 | 若其影響層面重大(例如關鍵功能)或已有在野攻擊案例,IEI 可能加速修補;否則通常併入下一次韌體更新處理。 | 針對特定客戶通知:若僅影響特定機型或客製化產品,IEI 可能優先通知該部分客戶。 若影響範圍廣,可能於定期或累積性安全公告中揭露;影響範圍較小時,則以客戶定向通知為主。 | 若其影響層面重大(例如關鍵功能)或已有在野攻擊案例,IEI 可能加速修補;否則通常併入下一次韌體更新處理。 |
| 0.0–3.9 (低風險) | 可能延後或併入下次排定更新 | 通常不會發行個別安全公告。 | 可能不進行公開揭露:視風險評估結果,IEI 可能不單獨發布公告,僅於後續版本資訊或累積更新中註明。 | 若風險極低而修補成本高或影響面大,IEI 可能僅提供替代措施而不進行全面修補。 |
揭露時機:在修補前或修補後
弱點揭露的時機對於降低客戶的潛在風險至關重要。IEI 採取基於風險的方式,在修補程式或有效的緩解措施可用時才會揭露弱點。根據弱點的嚴重程度以及是否已被廣泛知悉或正在被利用,IEI 可能會提前發布公告,提供臨時建議以保護使用者。
| 弱點嚴重程度 | 揭露時間點 | 例外情況 / 附加說明 |
|---|---|---|
| 嚴重 / 高風險弱點 (Critical / High) | 原則上於提供修補程式或有效因應方案後揭露:避免在未能防範前洩漏細節而被攻擊者利用。 | 例外情況:若弱點已廣泛擴散或疑似遭到利用,IEI 可能提前發佈公告,提供臨時建議或修補時程預估。 |
| 中 / 低風險弱點 (Medium / Low) | 一般於完整修補或解決方案就緒後揭露:非緊急狀況下不會立即發布,但若有正在進行的攻擊或嚴重潛在影響,則依情勢調整。 | 常併入“累積性”或“整合式”安全公告:和其他修補項目一併公告 |
預估修補時程
為確保產品的安全性並降低潛在風險,IEI 依據弱點的嚴重程度及產品複雜性制定修補時程。修補時程的安排旨在平衡安全需求與開發資源,確保弱點能夠在合理的時間內獲得適當的修正或緩解。以下為各風險等級弱點的預估修補時程,以協助客戶了解修補方案的時效性與應對計畫。
| 弱點嚴重程度 | 預估修補時程 |
|---|---|
| 嚴重 / 高風險 | 約 30–90 天內發布修補程式或因應措施 |
| 中風險 | 約一至二個季度(3–6 個月),或於下一重大版本更新中完成 |
| 低風險 | 可視產品生命週期排程,可能延後或併入例行維護更新。 |
弱點修補政策與特殊情況
EOL/EOS 產品:
對已停止支援的產品,IEI 僅能提供最大努力之因應建議或風險指引。
低風險 / 高成本修補案例:
若修補工作繁複而風險甚低,IEI 可能先提供臨時性防護措施或公告,待後續再行修補。
特定客戶需求:
OEM/ODM 合作之客製方案若客戶選擇不實施修補,IEI 將提供風險告知並尊重其決定。
結語
IEI 在弱點處理與揭露上,秉持「優先處理高風險、維持透明度、並保障客戶安全」的原則:
高風險(CVSS 7.0 以上) 弱點將優先修補並發佈公開公告。
中、低風險 弱點則依實際影響,於常規或累積性更新時揭露並一併修補。
揭露時機 主要視保護客戶免受進一步風險為前提,通常於可提供完善解方後對外發布完整細節。
如您發現 IEI 產品之安全弱點,敬請透過 IEI 官方安全通報管道或技術支援窗口負責任地回報,並與廠商合作以利弱點之妥善修補與公開揭露,共同維護整體產品與生態系統的安全。
IEI 特此公告
