漏洞响应向导

我们认为任何企业都存在安全漏洞,同时我们认为,任何安全专家(白帽子)发现的漏洞都是劳动产出,在积极正向的协助企业方解决安全漏洞的情况下,企业和"补天"平台也会积极的推动奖励计划。这里你可以作为一个安全专家注册,也可以作为企业方的安全应急响应团队注册。一旦注册,我们认为你已经仔细阅读并同意如下的向导内容。如果你并不认同如下的内容,请不要注册或者提交任何漏洞。

漏洞响应的基本原则

我们相信只有在安全专家和企业相互尊重和理解的情况下才能有效地进行漏洞响应和处理。

安全专家需要遵循:

  • 尊重企业方对漏洞奖金和级别的定义 不同企业对安全的理解不同,因为要保护的资产级别是不同的,所以不要根据个人对安全的理解强加指责。任何人和团体都需要逐步学习和成长.
  • 尊重企业方的隐私.我们用友好的方式证明漏洞的存在性,所以在测试过程中不要破坏企业的隐私数据,包括不要修改和删除企业的用户数据等。
  • 耐心 企业对漏洞的处理是需要一定技术背景和响应时间的,所以在提交漏洞时,我们尽可能清晰的描述漏洞细节,在提交后积极支持企业对漏洞的重现和修复。
  • 不要伤害企业利益 一旦提交漏洞详情,请勿在任何场合披露漏洞信息,包括其他漏洞平台以及互联网。更加不要私下利用漏洞进行破坏。
  • 永远不要威胁企业 沟通过程中永远不要威胁厂商要做破坏性的行为。

企业方需要遵循

  • 积极响应安全漏洞 安全漏洞影响到业务和企业的发展,所以希望企业能够积极的响应安全专家提交的漏洞。包括及时通报进展,及时修复漏洞。
  • 尊重安全专家 安全漏洞都是安全专家们的劳动产出,所以请正视安全专家的产出,尊重他们的人格。可以对白帽子进行公开的致谢。
  • 奖励安全专家 在条件允许的情况下,尽可能给安全专家们经济上的奖励。这样我们对漏洞的响应就能够更全面更深入更及时。
  • 永远不要威胁安全专家 如果没有明确的证据证明有故意破坏性的行为,永远不要威胁安全专家,比如"付诸法律行动","跨省抓捕","请喝茶"之类的言语。

安全守则

我们承诺将保护合法的负责任的安全专家。然而,漏洞发现的过程本身是一个灰色地带。一旦发生纠纷的情况下,安全专家的行为越满足本文的向导,我们就越能够保护安全专家,避免事态的进一步升级。

提交流程

企业首先会发布一系列的漏洞响应规则,包括接收的漏洞影响范围,以及漏洞定级和不同等级的奖金范围。请务必在此之前仔细阅读并确认提交的漏洞满足企业的规则。

在发现了漏洞后,请在补天平台将漏洞细节进行完整的描述并进行提交。请确保漏洞描述清晰,有利于审核人员进行漏洞重现和确认。并且尽量提供修复建议,这样有利于企业确认并修复漏洞。在漏洞确认后将会进行奖金的发放。

确认和响应流程

在收到漏洞提交的第一时间,补天平台会进行漏洞真实性、有效性、独家性确认。请确保漏洞之前不在互联网上以任何形式的公开,并且在确认期间保证不会以任何其他形式对外公开。

漏洞最后是否公开由安全专家和企业进行协商沟通,最终的决定权在企业。

奖金发放流程:

一旦厂商确认了漏洞存在,并且是第一个通报漏洞的作者,平台就会跟企业确定奖金额度,确认后就会由平台的工作人员进行打款(可以周期性打款也可以累积金额打款)。

微信二维码