WeKey致力于我们产品的安全性。如果发现漏洞，我们将尽快解决该漏洞并发布更新。本文档介绍了向WeKey提交有关我们产品中潜在安全漏洞的报告的过程，以及将客户和其他受影响的实体告知已验证漏洞的做法。

如果您在WeKey产品中发现了潜在的安全漏洞，请发送电子邮件到 hello@wekey.com。您的报告将被审核，如有需要，相关人员将会与仅进一步联系跟进。我们会尽力在2个工作日内确认您的报告，并在7个工作日内做出初步回复。

在提交给WeKey之前，请不要在您的报告中包含任何可能侵犯任何用户隐私的数据，除非您事先获得该用户的知情同意，并安排对该信息进行适当的加密和保护。WeKey不对未经WeKey请求或同意而提交给WeKey的个人信息承担任何责任。

通常情况下，当我们就某个特定漏洞发布了切实可行的解决方案或修复方案时没我们会发布通知。

如果第三方（如安全研究员）通知我们存在漏洞，我们将进行调查，并可能与该第三方发布协调披露。如果我们收到保密协议下的报告，我们将发布安全补丁，但可能只提供有关漏洞的有限信息。

WeKey力求在报告漏洞或问题后的90天内解决这些漏洞和其它问题。我们可能会在适当的时候要求额外的时间来解决，通常在第三方受到影响，需要协调响应的情况下。

WeKey在遵循最新版本的通用漏洞评分系统（CVSS）的情况下，遵循行业标准的实践来评估和报告漏洞的潜在影响。有关CVSS系统的详细信息可以在这里找到.

我们的通报通常记录受漏洞影响的已知WeKey产品列表，以及获取修补程序或解决方法的适当路径。在大多数情况下，这将通过生态系统更新机制（例如Android Update）进行。

如果可能，我们将列出产品所有受影响的版本。可能涉及“在<日期>之前发布的版本”，或“在<日期>和<日期>之间发布的版本”。如果需要进一步的细节，请联系hello@wekey.com。

在适用且经许可的情况下，WeKey将感谢漏洞研究者或发现者，并感谢他们为改进我们的产品所做的努力。