製品の潜在的なセキュリティ脆弱性の報告
TI PSIRT について
TI では、TI の製品のセキュリティに高い優先度を設定しています。ただし、ご存じのように、製品のセキュリティにどれだけ労力を費やしたとしても、製品または顧客システムが 100% 安全になることはありません。TI は、潜在的なセキュリティの問題に迅速に対応するために必要な手順を取れるように、TI の製品に影響を与える潜在的なセキュリティの問題について学びたいと考えています。TI の PSIRT (Product Security Incident Response Team、製品セキュリティ・インシデント対応チーム) は、ハードウェア、ソフトウェア、資料を含めた TI の半導体製品に関する潜在的なセキュリティの脆弱性に対応するプロセスを管理しています。
潜在的なセキュリティの脆弱性を報告する方法
セキュリティの潜在的な脆弱性を報告するには、psirt@ti.com から TI PSIRT に問い合わせることができます。 英語で報告する必要があります。TI は、E メールの受領の確認する返信を適時に差し上げます。
脆弱性情報は非常に機密性の高い情報です。TI PSIRT は、TI PSIRT PGP / GPG キーを使用して、提出されるすべてのセキュリティ脆弱性レポートを暗号化して送ることを強くお勧めしています。
- 指紋:898C ECC3 451F 9438 D972 06B6 4C13 1A0F 9AF0 04D8
- 公開鍵ファイル (ZIP、3KB)
PGP/GPG 暗号化メッセージを読み書きする無料のソフトウェアは次の場所から入手可能です。
レポートに含める推奨される情報
TI PSIRT が潜在的なセキュリティの脆弱性のトリアージを実行するために、次の情報を提供することをお勧めします。
- 影響を受ける可能性がある TI のハードウェアまたはソフトウェア製品 (バージョンまたはリビジョンを含む)
- 潜在的な脆弱性をいつ、どのように、誰が見つけたのか
- 関連する (1) 既知の違反および (2) 既知の CVE ID を含む、潜在的な脆弱性の技術的な説明
- 連絡先情報 (TI がなんらかの必要なフォローアップの質問をできるように)
レポートの処理プロセス
提出後、TI は次の処理に従って、潜在的なセキュリティの脆弱性を評価して、対応します。
- 通知:TI は潜在的なセキュリティの脆弱性を知るようになります。
- 初期トリアージ:TI は、TI 製品が影響を受ける可能性があるかどうか、および十分な情報が提供されたかどうかを判定するために、提出物を検討します。
- 技術的な分析:TI は、報告された潜在的な脆弱性を技術的な見地から詳細に調査します。[1]
- 修正:TI は検証済みの製品セキュリティ脆弱性に対して適切なアクションをとります。
- 公開:適切な場合は、TI は検証済みの脆弱性に関する情報を公開し、セキュリティ報告またはカタログなどで修正機能を利用できるようにすることがあります。
[1] TI は、CVSS (Common Vulnerability Scoring System) v3.0 を使用して脆弱性を採点します。その結果、解析と修正の目的で脆弱性に正しい優先順位を割り当てることができます。 必要に応じて、脆弱性に対する CVE (Common Vulnerabilities and Exposures) ID を作成することがあります。
責任ある取扱い方針
大半のテクノロジー業界と同様に、TI PSIRT は責任ある取扱い方針に従っています。TI のポリシーでは、お客様が TI から期待できる内容、および TI がお客様から期待できる内容について説明しています。 これは、CERT® Guide to Coordinated Vulnerability Disclosure (英語) に基づいています。レポートを送信する前に、TI の方針をご確認ください。お客様と TI との関係性の条件について説明しています。
セキュリティに関する勧告
以下で、セキュリティの脆弱性 (弱点) に関する公開情報と、TI の利用可能な対処法をご覧になれます。
メディアのご質問
TI 製品のセキュリティに関する(メディアからのご質問は、直接 news.ti.com 宛に転送されることがあります。