产品安全
地平线重视并鼓励您对我们的产品或服务进行漏洞测试,如您要报告任何地平线产品或服务中的潜在安全漏洞,请发送电子邮件至:report_vulnerability@horizon.auto。
您通过电子邮件报告潜在漏洞,请使用地平线的公共PGP密钥(插入密钥链接)进行加密,并包含以下信息:
1.包含漏洞的产品/驱动程序名称和版本/分支;
2.漏洞类型(代码执行、拒绝服务、缓冲区溢出等);
3.重现漏洞的说明;
4.概念验证或漏洞利用代码;
5.漏洞的潜在影响,包括攻击者如何利用此漏洞。
适用产品或服务
您对地平线硬件、操作系统或公共网络进行漏洞测试前,请预先查看授权范围。
授权范围:
• 地平线对外公开的地平线的产品:
地平线天工开物®/Horizon OpenExplorer®
地平线征程®/征程®/Horizon Journey®/JourneyTM
Horizon Matrix®
Horizon MonoTM
Horizon PilotTM
Horizon SuperDriveTM
地平线秋毫®/Horizon Qoho®
地平线艾迪®/Horizon AlDI®
TogetheROSTM/地平线踏歌®
BPU®
• 地平线的Web站点:
• 地平线的Github仓库:
特别声明,禁止以下行为:
社会工程学攻击,例如尝试窃取Cookies、伪造登录页面以收集凭证以及网络钓鱼;
资源消耗攻击,例如超过1000条的短信炸弹、邮箱炸弹;
下载、获取地平线内部资料、代码程序或任何非公开数据;
Web端的拒绝服务攻击;
内网渗透、横向移动、后门植入;
内部使用的服务器,例如OA、Git;
供应链攻击,例如通过地平线供应链的经销商,对地平线进行渗透。
安全公告及漏洞披露
通常情况下,地平线会把已确定的安全漏洞及实际解决方法或安全更新通知至适用的相关方。通知是通过有针对性的通信或发布安全公告进行的。原则上,在发布安全公告之前,地平线将首先完成漏洞响应流程,并确定存在足够的软件更新或变通办法来解决漏洞,或者计划在发布安全公告的同时公开披露补救措施以解决漏洞。
地平线安全公告通常会在适用的情况下包含以下信息:
1. 受影响的产品和版本;
2. 地平线漏洞编号;
3. 漏洞描述以及潜在影响的简要说明;
4. 漏洞的通用漏洞评分系统(CVSS)严重等级(请参阅https://www.first.org/cvss/user-guide.html);
5. 修复详情,例如安全更新、漏洞缓解措施或客户要求的其他操作;
6. 感谢漏洞的提供者。
除了安全公告和相关文档中提供的内容外,地平线不会提供有关漏洞细节的其他信息。
在满足国家法律法规与标准等监管外,根据行业惯例地平线不会与外部实体共享内部安全测试或其他类型的安全活动的结果。需要注意的是,对地平线安全生产系统的任何扫描都将被视为攻击。
如果您是OEM合作伙伴,请与您的地平线项目经理协调您的需求。如果您是网络安全研究人员,请依据授权范围进行漏洞扫描。
地平线将由专业的安全团队查看您提交的漏洞报告,并尽一切努力快速纠正任何漏洞。为了鼓励负责任的报告,地平线不会对您采取法律行动,也不会要求执法部门对您进行调查,前提是您遵守以下负责任的披露准则:
提供漏洞的详细信息,包括重现和验证漏洞所需的信息以及概念验证(POC)。如涉及车辆上功能的漏洞都必须在识别漏洞后的168小时零分钟(7天)内报告。
真诚地努力避免侵犯隐私、破坏数据以及中断或降级我们的服务。
请勿修改或访问不属于您的数据。
在公开任何信息之前,给地平线一个合理的时间来纠正问题。
仅更改您拥有或有权访问的车辆。
请勿危及车辆安全或将他人置于不安全的条件下。
安全研究仅限于产品或服务的授权范围。
免责声明
依据《中华人民共和国网络安全法》,本网站提供的网络安全漏洞报告渠道旨在鼓励安全人员公众积极参与网络安全维护,及时发现并报告潜在的网络安全隐患。然而,本网站对于通过此渠道接收到的任何信息或数据的准确性、完整性或有效性不作任何保证,亦不承担因信息不准确、不完整或无效而导致的任何直接或间接损失。
本网站将尽力保护报告人的个人信息和报告内容的保密性,但为了配合相关法律法规的要求或进行必要的安全调查,本网站可能需要将相关信息提供给有关部门或机构。在此过程中,本网站将遵循相关法律法规的规定,确保信息的合法、合规使用。
我们将尽合理努力采取措施保障本网站的网络安全和数据安全,但基于技术本身的有限性,对于因报告渠道的使用而产生的任何直接、间接、偶然、特殊或后续损失不承担责任,包括但不限于因信息泄露、系统错误、数据丢失或其他与报告渠道相关的任何问题。
报告人应确保所提交的报告内容真实、准确、完整,并符合《中华人民共和国网络安全法》等相关法律法规的规定。报告人应自行承担因提交虚假、不准确或违反法律法规的报告内容而产生的一切法律责任。
本免责条款的适用、解释及争议解决均适用中华人民共和国大陆地区法律。如发生任何争议,双方应首先通过友好协商解决。