70mai 漏洞揭露政策

70mai 致力於開發符合最高安全標準的產品和服務，以便保護我們的客戶及其資料。我們歡迎安全性研究人員、學者和更廣泛安全性社群中的其他人提供有關潛在安全性漏洞的資訊。

70mai 的安全性團隊已準備好與提出此類漏洞要留意的人員合作，並且努力認可所有相關提交事項。

何時要聯絡產品安全事件應變小組

研究人員和使用者可以透過 https://www.70mai.com/contact-us/ 向 70mai 回報安全性漏洞或錯誤，或也可透過電子郵件傳送至 security@70mai.com。

事件應變計畫

安全事件應變計畫如下：

1.專屬客服團隊將每天監控聯絡我們網站上的資訊，並且如果發現與安全性相關的貼文，會回報給 70mai 的安全性團隊。同時，安全性團隊每天都會監控 security@70mai.com。

2.安全性團隊確定事件的嚴重性並通知 PM（計劃經理）

3.在對漏洞進行評分或分等時，70mai 遵循標準的產業最佳實務，將漏洞的潛在影響指定為高、中或低。

4.根據事件的嚴重程度，將執行以下步驟：
a) 高：PM 立即與工程、安全性團隊和相關工程師的負責人舉行會議。會議中應進行修復計畫。修復至雲端將立即開始。應用程式和韌體將盡快修復，並且依照上表所示的時間向使用者推送 OTA。
b) 中：PM 與安全性團隊和相關工程師舉行會議。會議中應進行修復計畫。而且，修復/OTA 將依照上表所示時間完成。
c) 低：PM 將與安全性團隊和相關工程師討論，並且制定修復計畫。對應的修復/OTA 將依照上表所示時間完成。安全性團隊將在 24 小時內透過 avs-security@amazon.com 通知以上所有事件，包括事件說明和嚴重程度的初步報告將附在郵件中。包括問題解決計畫和對應發佈/OTA 排程的另一報告將盡快發送至 avs-security@amazon.com。

從 70mai 接收安全性資訊

安全性通告

在大多數情況下，我們會在針對特定安全性漏洞識別出實際解決方法或針對特定安全性漏洞進行修復時發出通知，但當漏洞對安全性社群變為廣為人知時，我們仍可能在沒有解決方法的情況下發佈通知。

發佈注意事項（讀我檔案或變更歷史記錄）

I與安全性更新相關的發佈注意事項中所含的資訊將參考 CVE 或內部追蹤編號。如適用，兩者都包含在我們公佈的安全性通告中。當 70mai 認為盡快更新符合客戶的最大利益時，可能會在安全性通告之前發佈補救措施。公佈通告後，可以透過參考發佈注意事項中的追蹤編號找到有關漏洞的資訊。

已公佈的 CVE 中將包括與開源漏洞補救措施相關的發佈注意事項中所含的資訊。

70mai 不會針對開源漏洞發佈安全性通告。

參考

如果有與漏洞相關的更多資訊，通告將提供連結作為參考。這包括指向 CVE 或部落格或文章引用的連結。

認可

通常，我們希望認可漏洞的研究人員或發現者在其許可下為其提供信用分數。

修訂歷史記錄

更新通告時，修訂歷史記錄將顯示更新的內容和時間。

我們盡最大努力盡快解決受支援產品中的漏洞。但是，由於修復複雜性、品質測試、禁運和跨廠商協調等因素，無法保證應變等級適用於任何特定問題或問題類別。