產品漏洞揭露與政策

我們已準備好與個別研究人員、ICS-CERT、安全情報收集機構、客戶及現場人員共同合作，他們可能會發現我們產品的漏洞並提交漏洞報告。請在「回報問題」頁面上回報漏洞。

伊頓同意不會對下列人士採取法律行動：

• 參與伊頓智慧型產品的測試/研究，但並未對伊頓或其客戶造成傷害。 
• 在我們的漏洞揭露政策範圍內，或是收到伊頓的事先許可/同意而參與漏洞測試。
• 在不影響客戶的情況下測試產品，或是在獲得客戶許可/同意之後再針對其裝置/軟體等進行漏洞測試。
• 遵循其所在地點和伊頓所在地點的法律。
• 透過「回報問題」程序提交漏洞報告。
• 在雙方同意的時限到期前，避免向大眾揭露漏洞詳細資料。

確認和初步分析

我們會遵循內部風險評估程序，接受並確認收到漏洞資訊、進行初步分析，並對所報告的漏洞進行初步評等。對於任何外部回報的第三方軟體程式庫漏洞，如其適用於受影響的伊頓產品及其部署環境，我們即會使用 CVSS v3 漏洞評分方法來指定風險等級。CVSS 整體分數為 7.0 以上，或是被 CCoE 視為高安全風險的任何漏洞，將優先處理。

修正或緩解

伊頓會修補在目前支援的產品上所發現的漏洞。CCoE 團隊會與產品團隊合作，按照指定的優先順序修補漏洞。預估修正問題的大約時程，並將其傳達給漏洞回報者 (即個別研究人員、ICS-CERT 或其他機構)。 在此階段中，CCoE 團隊將作為外部實體的單一聯絡窗口，並與內部團隊合作進行漏洞修正與測試。 在這段期間，當我們合作解決問題時，可能會與回報方保持通訊。

發佈修正程式

伊頓會透過受影響產品的標準分配通路，發佈漏洞修補/修正程式。與此修正程式相關的詳細技術資訊會以伊頓產品安全建議報告的形式發佈。

伊頓傾向於與漏洞研究人員共同揭露，並期望漏洞研究人員在雙方同意的時限到期前，避免向大眾揭露漏洞詳細資料。

伊頓安全性建議報告

安全漏洞相關資訊會公開發佈在我們「網路安全通知」頁面上。本頁為伊頓產品安全建議報告的集中儲存庫，提供與所有伊頓電子產品相關的產品安全建議報告。我們鼓勵客戶留意此入口網站，以取得最新的安全性建議報告。

我們預期在找出實際的因應措施或修正方式後，針對已驗證的漏洞發佈安全性建議報告。但也可能會出現發佈了建議報告但未提供因應措施的情況。由於每個安全性漏洞都不盡相同，因此我們可能會採取與發佈安全性建議報告相關的替代動作。 

伊頓不保證會針對客戶可能認為是重大的任何或所有安全問題發佈安全性建議報告，也不保證建議報告會按照任何特定時間表發佈。

注意：伊頓保留隨時酌情修改本政策的權利。 

獎勵與表揚

伊頓會維護表揚名人堂，針對遵循此政策回報產品網路安全漏洞的安全研究人員，適當表揚其貢獻：