テクノロジー

製品の潜在的なセキュリティ脆弱性の報告

TI PSIRT について

TI では、TI の製品のセキュリティに高い優先度を設定してます。しかし、ご存知のように、製品のセキュリティにどれだけ労力を費やしたとしても、製品または顧客システムが 100% 安全であることはありません。TI は、潜在的なセキュリティの問題に迅速に対応するために必要な手順を取れるように、TI の製品に影響を与える潜在的なセキュリティの問題について学びたいと考えています。TI の PSIRT(Product Security Incident Response Team、製品セキュリティ・インシデント対応チーム)は、ハードウェア、ソフトウェア、資料を含めた TI の半導体製品に関する潜在的なセキュリティの脆弱性に対応するプロセスを管理しています。

潜在的なセキュリティの脆弱性を報告する方法

潜在的なセキュリティの脆弱性をほうこくするには、 psirt@ti.com から TI PSIRT に問い合わせることができます。英語で報告する必要があります。 TI は、E メールの受領の確認する返信を適時に差し上げます。 

脆弱性情報は非常に機密性の高い情報です。TI PSIRT は、TI PSIRT PGP / GPG キーを使用して、提出されるすべてのセキュリティ脆弱性レポートを暗号化して送ることを強くお勧めしています。

 

PGP / GPG 暗号化メッセージを読んだり書いたりする無料のソフトウェアは次の場所から入手可能です。

レポートに含める推奨される情報

TI PSIRT が潜在的なセキュリティの脆弱性のトリアージを実行するために、次の情報を提供することをお勧めます。

  • 影響を受ける可能性がある TI のハードウェアまたはソフトウェア製品(バージョンまたはリビジョンを含む)
  • 潜在的な脆弱性がいつ、どのように、誰によって見つけられたのか
  • 関連する(1)既知の違反および(2)既知の CVE ID を含む、潜在的な脆弱性の技術的な説明
  • 連絡先情報(TI がなんらかの必要なフォローアップの質問をできるように)

レポートの処理プロセス

提出後、TI は次の処理に従って、潜在的なセキュリティの脆弱性を評価して、対応します。

  1. 通知: TI は潜在的なセキュリティの脆弱性を知るようになります。
  2. 初期トリアージ: TI は、TI 製品が影響を受ける可能性があるかどうか、および十分な情報が提供されたかどうかを判定するために、提出物を検討します。
  3. 技術的な分析: TI では、報告された潜在的な脆弱性を技術的な見地から詳しく調査しています。[1]
  4. 修正
  5.    
  6. TI は検証済みの製品セキュリティ脆弱性に対して適切なアクションを撮ります。
  7. 公開: 適切な場合は、 TI は検証済みの脆弱性に関する情報を公開し、セキュリティ報告またはカタログなどで修正機能を利用できるようにすることがあります。 

 

[1] TI は、解析と修正のために脆弱性が正しく優先順位付けされるように、 CVSS (Common Vulnerability Scoring System) v3.0 を使用して脆弱性を採点します。必要に応じて、脆弱性に対する CVE(Common Vulnerabilities and Exposures) ID が作成される場合があります。 

責任ある取扱い方針

ほとんどの技術産業と同様に、TI PSIRT は責任ある取扱い方針に従っています。 TI のポリシーでは、お客様が TI から期待できる内容、および TI がお客様から期待できる内容について説明しています。これは、 CERT® Guide to Coordinated Vulnerability Disclosure(英語)に基づいています。レポートを送信する前に、TI の方針をご確認ください。お客様と TI との関係性の条件について説明されています。

メディアのご質問

TI 製品のセキュリティに関する(メディアからのご質問は、直接 news.ti.com に転送される場合があります。