製品に関する安全な情報へのアクセス
NXPの認定を受け、セキュアコンテンツへのアクセス権を取得します。 でない。 表立って 在庫あり.
製品セキュリティの脆弱性
NXP Product Security Incident Response Team (PSIRT)は、報告された脆弱性に対応して文書化し、影響、重大度、および軽減に関する明確なガイダンスをお客様に提供することで、NXP製品のセキュリティ脆弱性に迅速に対処することを約束します。
PSIRTが処理するセキュリティインシデントの範囲
以下のケースはPSIRTの対象です。
- NXP製品(ハードウェアまたはソフトウェア)のセキュリティインシデント。
- セキュリティ情報や推奨事項(データシートやアプリケーション・ノートなど)に関するNXPドキュメントの不備
- NXPに関するセキュリティ上重要なNXPドキュメントまたはセキュリティ関連情報が、本来あるべきでない場所で見つかりました。
- セキュリティに配慮したNXP製品。本来あるべきでない場所に存在します。
次のケースはPSIRTの対象外です。
- NXP ITシステムの脆弱性(NXPのウェブサイトなど)は対象外ですが、PSIRTに送信すれば、NXPの適切なチームにルーティングされ、個別に対処されます。
- その他のサポートまたはインシデント。一般的なNXPのサポートページに連絡してください。サポートで す | NXPセミコンダクターズ。製品サポートやその他の関連のないトピックに関する電子メールは、PSIRTによって処理または回答されません。
脆弱性処理プロセス
NXP製品のセキュリティ脆弱性は、次のプロセスで積極的に管理されています。対応に要する時間は、問題の範囲によって異なります。このプロセスは、次の4つの主要なステップで構成されています。
レポート
レポーターは承認を受け、処理プロセス全体を通して更新されます。
評価
NXPは潜在的な脆弱性を確認し、リスクを評価し、影響を判断し、優先順位を割り当てます。
ソリューション
可能な場合、NXPは報告されたセキュリティの脆弱性に対する緩和戦略と修正を開発します。
通信機能
ほとんどの場合、NXPは影響を受けるお客様に直接通信します。
潜在的なセキュリティ脆弱性の報告
NXP製品に潜在的なセキュリティの脆弱性を発見したと思われる場合は、PSIRTに 連絡してください。NXPは、報告された脆弱性の確認を24時間以内に送信するよう努めています(週末と祝日は、緊急度に応じて72時間まで延長される場合があります)。その時間内に返信がない場合は、メッセージを再送信してください。英語で書いて、次の情報を含めてください。
- 影響を受ける製品とバージョン
- 脆弱性の詳細な説明
- 既知のエクスプロイトに関する情報
脆弱性に関する情報は非常に敏感です。PSIRTは、NXPに送信されるすべてのセキュリティ脆弱性レポートを、PSIRT PGP/GPGキーを使用して暗号化することを強く推奨します。
PGP / GPGキー
- 指紋: ADAE 9ED8 7714 2DAB 2E55 F447 D366 8C09 7CB6 66F9
- PGP / GPGキー
- PGP/GPG暗号化メッセージのソフトウェアは以下から入手できます: GnuPG (free)
PSIRTに送信された一般的なサポート要求に応答できません。製品サポートについては 、サポートページを参照してください。
責任ある開示
NXPは、報告者による責任ある開示を確立するために、脆弱性の報告者と協力することを約束します。NXPの製品を現場でアップグレード/パッチを適用する機能は、PCなどとは全く異なります。NXPの製品は組み込みソフトウェアを搭載したチップであり、フィールドですでに展開されている製品を簡単に(または全く)更新する可能性なしにシステムに展開されることが多いです。
したがって、責任ある開示には、多くの場合、より長い期間または開示情報の制限が必要になります(例:匿名の開示:影響を受ける製品を開示せずに攻撃の技術的事項を開示する)。これは、NXPのお客様が報告者の開示によってNXPのお客様のシステムに損害が生じる前に、脆弱性を移行して軽減できるようにするためです。
メディア
NXP製品のセキュリティに関してNXPに連絡したいジャーナリストは、NXP Newsroomをご覧くだ さい。