セキュリティ脆弱性開示ポリシー
If you have found a vulnerability, please submit your bug via our Silabs Community Page.
Silicon Laboratories Inc.(「Silicon Labs」、「私たち」、または「当社」)は、当社のビジネスとお客様の安全を守るために、セキュリティ・コミュニティと協力して脆弱性を発見することを楽しみにしています。
At Silicon Labs, the security of our products and infrastructure is critical to our business. セキュアな IoT 技術をリードするために、Silicon Labs は、セキュリティ研究者たちが組織、顧客、ユーザーの安全を守る上で果たす重要な役割を認識しています。私たちは、技術の弱点を特定して修正するには、熟練したセキュリティ研究者たちと協力し合うことが重要であると考えています。当社製品、サービス、またはインフラストラクチャに潜在的なセキュリティ脆弱性を発見した場合は、直ちに報告してください。皆様と協力して、この問題に迅速に対処できるよう最善を尽くすことを楽しみにしています。
脆弱性に関するコミュニケーション
製品やソフトウェアの脆弱性、または疑わしい機能は、顧客、Silicon Labs の従業員、研究者、その他の関係者によって報告される場合があります。When a security vulnerability is suspected, please register with an account in our Community and select the "Vulnerability Disclosure" tab, please review the content on our Report a Vulnerability page for step-by-step instructions on how to submit a vulnerability. The report will be received by Silicon Labs, and the Silicon Labs PSIRT/ESIRT team will be notified of your submission. レポートの確認とバグのトリアージは、当社の目標応答時間に従っておこなわれます。セキュリティ通知の購読方法については、 こちらを参照してください。
回答対象
Silicon Labs は、本プログラムの参加者のために、以下の SLA を満たすべく合理的な努力を行っていきます。
| 回答の種類 | 営業日の ESIRT SLA | 営業日の PSIRT SLA |
|---|---|---|
| 最初の対応 | 3 日 | 3 日 |
| トリアージまでの時間 | 15 日 | 15 日 |
| 解決までの時間 | 重大度と複雑さによって異なる | 重大度と複雑さによって異なる |
開示方針
- 参加の条件として、お客様は、Silicon Labs からの明示的な同意なしに、このプログラムについて議論したり、プログラムの外の脆弱性(解決済みのものも含む)を開示しないことに同意するものとします。
プログラムのガイドライン
当社、当社の顧客やユーザーを保護するために、お客様は以下のガイドラインに同意し、それを遵守する必要があります。
- Silicon Labs の事前の書面による許可なしに、潜在的なセキュリティ問題を第三者に開示しないこと。
- レポートは、再現可能なステップで十分な詳細を提供する必要があります。報告された問題を再現するのに十分な詳細がレポートで説明されていない場合、問題はトリアージ済みとしてマークされない可能性があります。
- 影響をもたらすために複数の脆弱性を連鎖させる必要がある場合を除き、レポートあたり 1 件の脆弱性のみとなります。
- 重複して受け取った場合、最初に受領した報告書のみがトリアージされます(ただし、完全に再生できることが条件)。
- 1つの根本的な問題に起因する複数の脆弱性は、1つの有効なレポートとして扱われます。
- Ensure your research complies with all relevant laws and regulations. Conduct research only on Silicon Labs products and websites, in accordance with their terms and conditions (e.g., Community Terms of Use, Master Service License Agreement, Terms and Conditions of Sale) and all publicly posted policies, guidelines, and instructions.
- プライバシーの侵害、データの破壊、当社サービスの中断や劣化を回避する。所有しているアカウントに対してのみやり取りは(またはアカウント所有者の明示的な許可に基づいて)。
- サービス拒否を行わないこと。
- 当社の顧客または潜在的な顧客に対するいかなるスパム行為にも関与しないこと。
- Silicon Labs の従業員または請負業者のソーシャル・エンジニアリング(フィッシングを含む)に関わらないこと。
- Silicon Labs の資産またはデータセンターに対する物理的な試みに関わらないこと。
- Do no harm. Report vulnerabilities promptly and act for the common good; never exploit others without permission. If you confirm a vulnerability (e.g., proof-of-concept achieved) or encounter sensitive data—including personal, financial, proprietary, or trade-secret information—stop immediately and report it. Do not access, copy, modify, store, transfer, or further explore the data. Upon reporting, promptly delete any such information in your possession.
- Once a report is submitted, Silicon Labs commits to providing prompt acknowledgement of receipt of all reports (within three business days of submission) and will keep you reasonably informed of the status of any validated vulnerability that you report through this program.
- お客様は、レポートの内容をいかなる目的にも使用できる権利を当社に付与します。
- レポートを提出しても、お客様と Silicon Labs との間に消費者、雇用、あるいは代理店関係は生じません。
- Silicon Labs は、このポリシーを随時更新される場合があります。
Web 資産の範囲外となっている脆弱性
When reporting vulnerabilities, please consider (1) attack scenario/exploitability, and (2) security impact of the bug. 以下の問題は範囲外と見なされます。
- 機密性が高いアクションを含まないページのクリックジャッキング。
- 認証されていないフォーム、または機密性の高いアクションを含まないフォームのサイト間リクエストの偽造(CSRF)。
- ユーザーのデバイスへの MITM や物理的アクセスを要する攻撃。
- 機能する概念実証のない、既知の脆弱なライブラリ。
- 脆弱性を示していない、カンマ区切り値(CSV)のインジェクション。
- SSL/TLS 構成にベストプラクティスがありません。
- 当社サービス(DoS)の中断につながる可能性のあるアクティビティ。
- 攻撃ベクトルを表示しない HTML/CSS を変更できないコンテンツ・スプーフィングとテキスト・インジェクションに関する問題。
- 非認証エンドポイントにおける制限またはブルートフォースの問題を評価します。
- コンテンツ セキュリティ ポリシーのベスト プラクティスがありません。
- Cookie に HttpOnly または Secure フラグがありません。
- メールのベストプラクティスがない(無効、不完全、または SPF/DKIM/DMARC 記録がないなど)。
- 古いブラウザやパッチが適用されていないブラウザのユーザーのみに影響を与える脆弱性 [最新の安定したバージョン 2 件よりも安定したバージョンが少ない]。
- ソフトウェア・バージョンの開示/バナーの識別問題/説明的なエラーメッセージまたはヘッダー(スタックトレース、アプリケーションまたはサーバーのエラーなど)。
- タブナビング
- オープン・リダイレクト - 追加のセキュリティ影響が実証できる場合を除く。
- 好ましくないユーザーのやり取りが必要な問題。
安全ルール
Any activities conducted in accordance with the restrictions and guidelines outlined in this policy will be considered authorized conduct, and we will not initiate legal action against you. 本ポリシーに基づいて実施される活動に関連して、第三者がお客様に対して法的措置を開始した場合、当社は、お客様の措置が本ポリシーに従って実施されたことを周知するための措置を講じます。
バグ・バウンティ・プログラム
2026年に発売予定
研究者が使用するリソース
| 参照タイトル | リンク | 目的 |
|---|---|---|
| コミュニティリンク | https://community.silabs.com/s/ | 技術サポート用参考文献 |
| ユーザー向けプロジェクトページ | https://community.silabs.com/s/all-blogs?language=en_US | 様々なプロジェクトやタイムラインに関するブログ |
| キットの注文 | https://www.silabs.com/development-tools https://www.silabs.com/products/buy-sample |
検査用キットの注文方法 |
Silicon Labs と当社のユーザーの安全性を守るためにご協力いただきありがとうございます。
