漏洞响应

小米非常重视安全问题,我们欢迎各位安全研究人员向我们反馈潜在的安全问题,以提高小米产品和服务的安全性。

漏洞响应与披露流程

我们持续监控漏洞的接收渠道,及时查看和分配已接受的漏洞。

安全工程师将对漏洞的有效性进行技术验证,确认漏洞的可利用程度和潜在影响。

安全工程师将制定漏洞修复方案或风险缓解措施,并对其进行有效性验证。

我们会进一步排查所有可能受影响的产品,明确受漏洞影响的产品范围。

我们会在确认完成所有漏洞响应流程后,审核并发布该漏洞的安全建议。

漏洞提交方式

您可以通过以下途径提交小米产品的安全漏洞。

邮箱

Security@Xiaomi.com

因漏洞内容敏感,请下载并使用 public PGP key (key ID DCC2896C; fingerprint:EF25 EADF 40D1 98D1 2029 F0A9 B4A8 E8AA DCC2 896C) 对邮件内容加密。

邮件中至少需要包括以下内容:

- 您的组织信息和联系方式;

- 受影响的产品和版本;

- 漏洞的相关描述;

- 漏洞的利用方式;

- 漏洞披露计划;

- 其他信息(如有)。

网站

hackerone.com/xiaomi

小米安全中心

sec.xiaomi.com

注意

虽然我们鼓励您调查和研究潜在的安全漏洞,但我们不能容忍任何可能干扰用户合法权益的,或可能违反与计算机滥用、网络安全和隐私保护相关法律法规的活动。因此,您不应进行下列活动:

- 对数据进行修改或销毁的行为;

- 导致服务中断或降级的活动,例如拒绝服务攻击;

- 对个人数据、具有知识产权的数据和财务数据进行披露的活动。

响应时效

您提交的漏洞,我们将会在 48 小时内予以响应回复。

* 注:实际的漏洞响应时间,可能会根据漏洞的风险等级和复杂情况变动。

漏洞披露说明

小米通过以下两种方式对产品的安全漏洞进行披露:

- 安全建议(Security Advisory):当漏洞已被我们确认,我们通过安全建议披露详细的漏洞信息以及相应的修复方案;

- 安全通知(Security Notice): 当外部发现或关注小米产品的潜在漏洞, 但我们尚未完全确认该漏洞时,我们通过安全通知披露漏洞的基本信息和我们的调查进展。

在小米未发布正式的安全建议前,请漏洞提交人务必对漏洞细节保密。

如在漏洞报告和披露过程中出现任何冲突,我们将依据冲突解决原则进行处理。

小米将在
小米安全中心
定期发布小米产品的安全漏洞信息。