漏洞揭露政策
承諾
VicOne LAB R7 深知在物理AI時代,網路安全與物理安全的交匯至關重要。本政策概述了我們與全球研究社群合作,在我們的CNA範圍內識別、驗證和解決漏洞的承諾。
涵蓋範圍
物理AI系統
- 直接影響或控制物理行為的AI系統
- 感知、決策和執行邏輯
- 安全關鍵的網路物理環境
機器人平台
- 機器人軟體、韌體和硬體元件
- 控制堆疊、中介軟體和AI賦能控制邏輯
- 網路入侵可能造成物理影響的機器人運作環境
模擬與數位雙生
- 用於機器人/AI開發和驗證的模擬平台
- 代表真實世界機器人系統的數位雙生環境
- 其完整性影響真實世界安全決策的模擬流程
排除範圍
- 通用IT:標準辦公軟體、企業網站和非機器人雲端服務
- 第三方硬體:與機器人控制無關的通用晶片或元件漏洞
- 舊版系統:明確標記為生命週期結束(EOL)的產品
漏洞處理流程
我們的流程遵循 ISO/IEC 29147:2018 標準,以確保協調揭露。
| 步驟 | 階段 | 說明 |
|---|---|---|
| 01 | 提交(PGP加密) | 透過PGP加密電子郵件接收報告 |
| 02 | 分級與驗證 | 驗證報告並重現問題 |
| 03 | CVE ID分配 | 為漏洞保留CVE識別碼 |
| 04 | 修復與修補 | 與廠商協調修復開發 |
| 05 | 公開揭露 | 在協調時程後發布公告 |