飞凌嵌入式

产品安全事件响应团队

Product Security Incident Response Team (PSIRT)

飞凌嵌入式PSIRT负责接收、调查和披露与飞凌产品相关的安全漏洞信息,为客户提供安全指导和解决方案。

关于飞凌PSIRT

飞凌嵌入式产品安全事件响应团队(Forlinx PSIRT)负责监督接收和响应涉及飞凌硬件和软件产品的潜在安全漏洞报告的流程。

飞凌高度重视产品安全,PSIRT致力于快速处理影响我们产品的潜在安全漏洞。我们在嵌入式系统安全领域的丰富经验使飞凌能够进行清晰的分析,并在适用时提供有关缓解措施和解决方案的适当指导。

如果您希望报告有关我们产品的潜在安全漏洞,我们鼓励您按照本页面描述的步骤向飞凌PSIRT报告。

PSIRT职责范围

PSIRT负责处理以下安全问题

  • 飞凌产品(硬件或软件)中的安全事件
  • 飞凌文档(如数据手册和应用说明)中有关安全信息或建议的缺陷
  • 在不应出现的地方发现的安全敏感文档或安全相关信息
  • 在不应出现的地方发现的安全敏感飞凌产品

PSIRT不负责处理以下问题

  • 飞凌IT系统(如网站)中的漏洞,但您可以将相关信息发送给PSIRT,我们会转发给相应团队
  • 任何其他支持或事件,有关产品支持和其他无关主题的邮件将不会得到PSIRT的回复

如需产品技术支持,请访问 飞凌官网支持页面

漏洞处理流程

飞凌PSIRT通过以下流程积极管理产品安全漏洞。响应时间根据问题的范围和严重程度而有所不同。

漏洞处理流程图
1

报告

报告人员在整个处理过程中会收到确认信息和更新信息。

2

评估

飞凌确认潜在漏洞、评估风险、确定影响并分配优先级。

3

解决

在可行的情况下,飞凌会针对报告的安全漏洞制定缓解策略和修复措施。

4

通信

在大多数情况下,飞凌将直接与受影响的客户沟通解决方案。

报告潜在安全漏洞

联系PSIRT报告安全漏洞

[email protected]

重要提示:所有交流和报告请使用中文或英文。飞凌力争在24小时内确认报告的漏洞(周末和节假日可能会延长至72小时,具体取决于紧急程度)。如您未在规定时间内收到回应,请重新发送消息。

漏洞接收标准

飞凌PSIRT仅接受满足以下两个核心要求的安全漏洞报告:

1可复现性要求
  • 漏洞必须在指定环境下稳定复现,触发成功率需≥80%
  • 需提供可复制的完整环境文档(系统版本、软件配置、依赖组件等)
  • 对于代码级漏洞(如SQL注入、逻辑漏洞),若暂时无法搭建环境,可提供代码片段 + 审计分析报告 + 逻辑证明
  • 不接受:成功率<50%的偶然触发、无法描述触发条件、需安装后门程序或特殊依赖才能复现的漏洞
2实际安全危害要求
  • 必须突破产品安全防护机制,对机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)造成非授权的、可验证的损害
  • 需提供可量化的危害实证,例如:
  • · DoS漏洞:服务中断截图/视频 + CPU利用率飙升至100%等量化数据
    · 数据泄露:泄露的敏感数据截图(打码隐私信息)+ 非授权访问证明
    · 代码执行:执行任意命令后的结果截图(如whoami/ipconfig输出)
    · 权限提升:提权前后用户权限对比截图(普通用户→管理员)
  • 不接受:单纯的功能缺陷、性能问题、界面bug,即使有负面影响也不属于"安全漏洞"

报告应包含以下信息

1

飞凌产品标识:产品型号或产品参考及版本(硬件或软件)

2

潜在漏洞的完整技术描述,包括任何相关的已知漏洞利用

3

漏洞复现步骤和环境配置文档(成功率需≥80%)

4

危害验证实证:截图、视频或量化数据证明实际安全危害

5

漏洞是如何以及何时被发现的

6

是否有可靠证据表明恶意行为者可能以某种方式利用了该潜在漏洞

7

任何已发布或计划发布的公开信息(CVE、学术论文发表等)

8

您在处理过程中使用的联系信息

重要说明:不满足可复现性和实际危害要求的报告将被直接驳回。信息不足或不完整可能会阻止飞凌评估请求,飞凌保留在此类情况下暂停评估的权利。

PGP / GPG 密钥
PGP密钥加密示意图

由于漏洞信息的敏感性,飞凌PSIRT强烈建议使用飞凌PSIRT PGP/GPG密钥加密发送所有潜在安全漏洞报告。

密钥指纹 (Fingerprint):FE9E EC67 ED43 2986 9084 0749 8C82 FBF6 1992 7DBA
密钥ID (Key ID):8C82FBF619927DBA
获取PGP/GPG加密软件

免费的PGP/GPG加密消息软件可通过以下方式获得:

GnuPG (免费) |Gpg4win (Windows)
负责任的披露政策

飞凌与漏洞报告人员协力合作,以确定如何负责任地进行披露。在嵌入式系统领域,现场升级/修补产品的能力与使用电脑等完全不同。飞凌的产品是带有嵌入式软件的芯片和模块,通常部署在系统中,无法轻松更新现场已部署的产品。

因此,一次负责任的披露往往需要较长时间或对披露信息进行限制(例如匿名披露:披露攻击的技术细节,而不会披露受影响的产品)。这是为了在飞凌客户的系统由于漏洞披露受到影响之前,允许飞凌客户有时间进行系统升级和缓解漏洞。

披露政策要点

  • 安全漏洞必须与飞凌产品硬件或软件的缺陷相关
  • 安全问题应是飞凌尚未知晓的,且仅向飞凌报告
  • 所有安全信息在披露前必须保密
  • 不允许侵犯隐私、破坏产品生态或破坏/篡改数据
  • 您的测试不应违反任何法律,也不应破坏或影响任何不属于您的数据

重要声明:飞凌嵌入式及其关联公司和子公司认真对待所有潜在安全漏洞报告或其他相关通信。为了审查您的报告并采取适当行动,飞凌需要获得相应权利和您的许可。因此,通过向飞凌提交报告,即表示您同意您有权这样做,并授予飞凌将报告用于与安全漏洞分析、测试、纠正、修补、报告及任何其他相关目的或功能相关的权利。

安全通告与公告

以下列表包含飞凌已发布的安全通告和公告。此列表可能不包含与飞凌产品相关的所有安全事件。如需了解特定飞凌产品的安全状态,请联系您的飞凌销售代表。

编号标题类型严重程度日期状态
SA-2026-001FET3588-C核心板安全启动增强安全通告2026-01-15已解决
SA-2025-003OKMX8MP-C开发板固件签名验证改进安全通告2025-11-20已解决
SB-2025-002Linux BSP安全补丁更新说明安全公告信息2025-10-08持续更新

安全通告将根据漏洞处理进度持续更新

致谢

飞凌感谢报告有效安全漏洞并在披露过程中与我们合作的个人和团队。我们非常重视安全研究人员的贡献,他们帮助我们保护客户和产品的安全。

安全研究人员致谢名单

以下个人和团队因负责任地向飞凌报告安全漏洞而获得认可:

目前暂无公开致谢记录。如果您发现并报告了有效的安全漏洞,您的名字可能会出现在这里。

如何获得致谢
  • • 报告有效的安全漏洞
  • • 在披露过程中与飞凌PSIRT合作
  • • 遵守负责任的披露政策
  • • 当多人提交相同的安全问题时,只有第一个提交者会被列入致谢名单