產品資安
萬物互聯的時代,電信技術與物聯網設備已成為現代基礎設施的核心。從關鍵通訊網絡到智慧家居裝置、人工智慧驅動的系統與工業控制系統,各類產品的安全漏洞都可能帶來嚴重風險。
為確保我們的產品與客戶資產的安全,Gemtek 始終將資安防護視為首要任務。我們積極與產業夥伴、安全研究人員、白帽駭客、使用者社群及客戶合作,在漏洞被惡意利用之前,及早發現並修補。
因此,我們特別制定此負責任的安全漏洞通報政策,以規範外部發現的潛在非公開漏洞的處理方式。
安全漏洞通報政策
適用範圍
- Gemtek 提供的嵌入式系統、物聯網設備、電信硬體/軟體、雲端服務及 API。
- 我們設備中使用的通訊協議、韌體及軟體堆疊 (software stacks) 。
本政策不適用於以下情況
- 任何導致服務中斷或降級的行為 (如 DDoS 攻擊、暴力破解攻擊) 。
- 社交工程 (social engineering) 、網路釣魚 (phishing) 或物理安全測試。
- Gemtek 無法控制或維護的第三方組件所引發的問題。
如何回報漏洞
如果您在我們的產品或服務中發現安全漏洞,請儘快透過以下方式回報:
電子郵件:
選擇性加密:您可以使用我們的 PGP 公鑰對回報內容進行加密 (提供 .asc 下載連結及 Base64 編碼文本框) 。
Gemtek 公開金鑰
指紋 (Fingerprints)
- SHA256 Fingerprint: 7c2caf7c92d536412d82d77e7e2472ae6ee202c924c9f280a4f894d614cdda04
- SHA512 Fingerprint: 82218245d8d4ba818c90946d430e93769bcf033d4e9ae556529d8da27c101d695ed84c819179b677b8b9c992ed6ba3f1d18cc3b286f6a83f8f8cf1b9cd7cc965
-----BEGIN PGP PUBLIC KEY BLOCK-----
mHMEZ7cmGRMJKyQDAwIIAQELAwMEYnpX8uq6GBahPwl2BkdyE6vAuOJW3POY4jsG U8OxRHgEdi8jetvuGC27l/0gYnEBFE2f+yukrxuIYgLH7Y6T2RLjbCehRPzsdIzA y+JHRpkND5HEhwUe4iaAWObSM0CYtEFQcm9kdWN0IFNlY3VyaXR5IEluY2lkZW50 IFJlc3BvbnNlIDxwcm9kdWN0X3NlY3VyaXR5QGdlbXRla3MuY29tPoi5BBMTCQBB FiEE+4j6eFeDJVfKQ0OICeUothFQjccFAme3JhkCGwMFCQHrpJcFCwkIBwICIgIG FQoJCAsCBBYCAwECHgcCF4AACgkQCeUothFQjcd6IgF/QOsUVGi/W/5a1wQvcdKK U9jh0tvTE9cu8WJbQeQqzXXSjuzDhau2y939kN6nunVpAX9A5mblo+haL6Yc07jT 23aGhGoq2XFKKQpCbNISqcJmulYlZI8uJwWTdnntpVcTBTS4dwRntyYZEgkrJAMD AggBAQsDAwQcD2E2GwzwjdC7X+atI50DH+x9hNLXPYXu52gZOacqySUiLGjnl3qt SC8ne5+BV3YY2lfBsYcoKj0rEBVfaMwEtE7V4kTtedfB//SdHfmRwX2xR+QQnUzw o3psVb1ouuwDAQkJiJ4EGBMJACYWIQT7iPp4V4MlV8pDQ4gJ5Si2EVCNxwUCZ7cm GQIbDAUJAeuklwAKCRAJ5Si2EVCNx46oAYCBSJ2D1KV6dlxuQPkVVlzRQy861cGU APyYwk9hWHipvPJ4YJ5aYx+BnDNXPux31ZUBf0xRCPgQND/JeHtrJlnij/EuNncD F9wAg33hHgmQPtKPLK9QLmMmMIKd+/wc+c9m9w==
=nMNB
-----END PGP PUBLIC KEY BLOCK-----
mHMEZ7cmGRMJKyQDAwIIAQELAwMEYnpX8uq6GBahPwl2BkdyE6vAuOJW3POY4jsG U8OxRHgEdi8jetvuGC27l/0gYnEBFE2f+yukrxuIYgLH7Y6T2RLjbCehRPzsdIzA y+JHRpkND5HEhwUe4iaAWObSM0CYtEFQcm9kdWN0IFNlY3VyaXR5IEluY2lkZW50 IFJlc3BvbnNlIDxwcm9kdWN0X3NlY3VyaXR5QGdlbXRla3MuY29tPoi5BBMTCQBB FiEE+4j6eFeDJVfKQ0OICeUothFQjccFAme3JhkCGwMFCQHrpJcFCwkIBwICIgIG FQoJCAsCBBYCAwECHgcCF4AACgkQCeUothFQjcd6IgF/QOsUVGi/W/5a1wQvcdKK U9jh0tvTE9cu8WJbQeQqzXXSjuzDhau2y939kN6nunVpAX9A5mblo+haL6Yc07jT 23aGhGoq2XFKKQpCbNISqcJmulYlZI8uJwWTdnntpVcTBTS4dwRntyYZEgkrJAMD AggBAQsDAwQcD2E2GwzwjdC7X+atI50DH+x9hNLXPYXu52gZOacqySUiLGjnl3qt SC8ne5+BV3YY2lfBsYcoKj0rEBVfaMwEtE7V4kTtedfB//SdHfmRwX2xR+QQnUzw o3psVb1ouuwDAQkJiJ4EGBMJACYWIQT7iPp4V4MlV8pDQ4gJ5Si2EVCNxwUCZ7cm GQIbDAUJAeuklwAKCRAJ5Si2EVCNx46oAYCBSJ2D1KV6dlxuQPkVVlzRQy861cGU APyYwk9hWHipvPJ4YJ5aYx+BnDNXPux31ZUBf0xRCPgQND/JeHtrJlnij/EuNncD F9wAg33hHgmQPtKPLK9QLmMmMIKd+/wc+c9m9w==
=nMNB
-----END PGP PUBLIC KEY BLOCK-----
請提供盡可能詳細的資訊,包括
- 受影響的產品/服務及其韌體/軟體版本。
- 具體的漏洞重現步驟 (PoC、螢幕截圖、日誌) 。
- 潛在影響評估 (例如:資料外洩、權限提升) 。
- 您的聯絡方式 (選填,如希望獲得回應或認可) 。
我們對漏洞回報者的期待
- 遵循道德與法律標準,僅限於必要的概念驗證 (PoC) 測試,不得濫用漏洞。
- 不得存取、修改或刪除使用者資料,亦不得中斷服務。
- 在 Gemtek 修補漏洞並依循業界最佳實踐發佈修復方案之前,不得公開披露該漏洞。
您可以期待我們提供的回應
- 回應時程:在 5 個工作天內確認您的報告。
- 調查與分類:我們將進行問題調查並提供狀態更新 (建議 30 天內) 。
- 修復時程:對於經確認的漏洞,我們將在合理的時間內進行修復,並於修復發佈時通知您。
- 公開認可:若您同意且利害關係人允許,我們可能會在新聞稿或安全公告中對您的負責任揭露表示感謝。
免責條款
Gemtek 承諾不會對遵循本政策並秉持誠信行為的研究人員/白帽駭客採取法律行動,前提是:
- 符合本政策所規範的道德標準與善意行為。
- 未侵犯隱私、造成損害或中斷服務。
感謝與認可
我們衷心感謝安全研究社群對 Gemtek 產品及客戶安全性的貢獻。如果您希望獲得公開認可,請讓我們知道。
感謝您與 Gemtek 攜手合作,共同提升電信與連網設備的安全性!