通用漏洞披露政策
更新时间:2026年【1】月【21】日
产品中心
CM27 系列
Magic Of MIP
CX27 系列
Novel Choice In The Era Of Mini LED
D27 系列
Professional Full Flip-Chip COB
V27 系列
16:9 High-End Energy-Saving Indoor FPP
U28 系列
Cost-Effective Indoor Commercial LED Display
FX27 系列
16:9 Ultra Simple And Thin Indoor FPP
H31 系列
4:3 Easy-To-Operate Indoor FPP
H19 Pro 系列
8:9 Ultra-Simply All-In-One FPP Module
搜索
西安青松光电技术有限公司(注册地址:陕西省西安市沣东新城文宣三路152号,以下简称“青松光电”或“我们”)是青松官网(以下或称 “本网站”)的运营方。
为提升产品、服务及系统的信息安全水平,充分发挥安全研究人员、行业组织及合作伙伴的力量,建立规范、高效的漏洞接收、评估、修复及披露机制,保障用户数据安全与业务连续性,特制定本政策。本政策遵循ISO/IEC 30111、ISO/IEC 29147等国际行业标准,平衡漏洞治理的安全性与透明度。
本政策适用于所有主动向我们披露潜在安全漏洞、隐私合规风险及安全情报的个人(含安全研究人员)、组织(含行业机构、合作伙伴)。覆盖范围包括:
1. 我们自主研发的产品(含硬件设备、固件)、应用程序(含移动端APP、PC端软件、快应用)及服务系统;
2. 我们运营的核心业务系统、生产办公网络、用户数据存储及处理体系;
3. 我们上架及合作分发的第三方应用。
已停止官方安全维护的产品、服务,及非我们自主运营的第三方独立产品,不纳入本政策覆盖范围。
本政策将帮助您了解以下内容:
一、漏洞定义与上报规范
二、漏洞处理流程
三、漏洞分级与奖励机制
四、责任与保密
五、附则
一、漏洞定义与上报规范
(一)漏洞及情报定义
1. 安全漏洞:指产品、服务或系统中可被攻击者利用,导致完整性、可用性、机密性受损的安全问题,区别于无需攻击者介入即可触发的质量缺陷;
2. 隐私合规风险:包括但不限于未经同意收集/共享用户信息、超范围权限申请、账号注销障碍、欺骗性获取敏感信息等违反法律法规及合规要求的行为;
3. 安全情报:包括核心系统入侵线索、大规模用户信息泄露线索、黑产工具及攻击情报、业务逻辑漏洞线索等可验证的安全威胁信息。
(二)上报要求
1. 上报渠道:优先通过指定邮箱(pip@qs-tech.com)上报;
2. 报告内容:需包含以下核心信息,确保漏洞可复现、可验证:
上报人姓名/组织及有效联系方式;
受影响的产品名称、版本、型号、固件版本及测试环境详情(含URL、设备信息、系统配置等);
漏洞/情报的详细描述、分步复现步骤,及非破坏性证明材料(如POC、网络抓包、无害测试结果等);
漏洞是否已被公开利用、潜在影响范围及披露计划(如有)。
3. 禁止行为:上报人不得利用漏洞进行破坏性测试、数据窃取、非法牟利等违规违法操作,不得扩散未修复的漏洞信息。
二、漏洞处理流程
(一)处理时限
我们收到漏洞报告后,将按以下时限推进处理,同时保障用户知情权与权益:
1. 1-3个工作日内:确认漏洞真实性并反馈上报人,启动漏洞分级评估;
2. 确认漏洞后2小时内:通过邮件、短信及电话等方式通知受影响用户,明确漏洞影响范围及临时防护建议;
3. 确认漏洞后48小时内:向用户及上报人同步正式解决意见,包括临时缓解方案及修复时间表;
4. 确认漏洞30天内:完成漏洞修复(因硬件限制、环境复杂度等特殊情况无法按期修复的,需在解决意见中说明延期理由及具体修复时限);
5. 修复完成后:再次通知用户修复结果及补丁安装指引,同步完成官方安全公告发布。
(二)处理流程
1. 接收与评估:安全团队对漏洞的真实性、有效性、严重程度进行分级判定,形成评估报告;
2. 修复推进:协调技术团队制定修复方案,跟踪开发、测试及上线进度;
3. 结果反馈:修复完成后3个工作日内,向上报人同步修复结果及补丁发布信息;
4. 公开披露:修复完成并推送补丁后,通过官方安全公告披露漏洞详情及修复说明,对上报人进行公开致谢;
未经我们同意,上报人不得在修复完成30天内公开漏洞信息。
(三)异议处理
上报人对漏洞定级、处理时限有异议的,可通过指定邮箱留言反馈,公司将在5个工作日内复核,必要时引入外部安全专家共同裁定。
三、漏洞分级机制
分级标准,将漏洞/情报分为四级,核心判定依据如下:
严重(Critical):可直接导致核心系统瘫痪、大规模用户数据泄露、最高权限被劫持,或违反法律法规且影响极端严重;
高(High):可导致业务中断、敏感信息泄露、权限绕过,影响核心业务且侵犯用户权益;
中(Medium):可导致局部功能异常、非核心信息泄露,影响一般业务且带来一定负面影响;
低(Low):影响范围有限、危害程度较低,基本不影响用户使用及业务安全。
四、责任与保密
(一)上报责任人
上报人应遵守法律法规及本政策要求,仅在授权范围内进行漏洞测试,不得利用漏洞损害我们及用户合法权益,不得泄露测试过程中获取的敏感信息。因违规操作造成损失的,需承担相应法律责任。
(二)我们的责任
我们对上报人的个人信息及漏洞报告内容严格保密,仅用于漏洞评估与修复工作,未经上报人同意不得向第三方披露(法律法规要求除外);妥善存储上报数据,明确数据留存期限并告知上报人。
五、附则
1. 本政策自发布之日起生效,原有相关规定与本政策不一致的,以本政策为准;
2. 我们有权根据业务发展、技术迭代及法律法规更新,对本政策进行修订,修订后将通过官方平台公示;
3. 本政策未尽事宜,由我们网络安全部负责解释。
官方联系方式:邮箱:pip@qs-tech.com
Talk Us
Thank you for your attention! Please fill out the form in detail and we will
take care of it for you as soon as possible.
Name*
Email*
Country*
Tel
Company*
Requirement*
By continuing, I agree to the QSTECH Privacy Policy.
