360SRC【外部漏洞处理流程及评分标准V2.0】试行

阅读量389715

发布时间 : 2023-03-01 17:00:29

 

活动简介

为提高360SRC的处理效率,增进360SRC与白帽子的合作,我们将漏洞奖励标准进行统一,后续白帽子提交的漏洞情报等级将按照本标准进行评定。

如果您对本标准有任何的建议,可通过 360SRC 官方邮箱(security@360.cn)或者微信公众号(360安全应急响应中心)向我们进行反馈。本标准自 2023 年3 月1日起施行。

 

活动时间

2023年3月1日起

 

活动地点

https://security.360.cn/

 

主办方

360安全应急响应中心

 

活动范围

本标准适用于360集团发布的产品和业务,此外360集团所投资的部分公司、子公司、合资公司等也在收录范围内,具体范围可参考 https://security.360.cn/Product/product

 

活动详情

一、威胁反馈与处理

1. 漏洞审核

对于web/服务端/移动端漏洞,我们将在三个工作日内进行审核;其他漏洞审核时间可能有所延长。

2. 漏洞确认及修复

漏洞审核通过后,漏洞状态会更改为“正在修复”,漏洞确认后将进行初评级(初评级阶段不显示漏洞等级与奖励)。
业务部门将修复所报告的问题,修复时间根据问题严重程度、修复难度和业务情况而定。Web端、服务端、客户端的严重及高危漏洞若三个月内未修复,白帽子可以重新提交漏洞,客户端漏洞仅收录第一次。

3. 安全币发放

我们在漏洞最终定级后将会把安全币发放至白帽子账户中,漏洞详情页显示安全币金额则为已发放。

4. 奖金兑换

白帽子可每月1~7日在360SRC官网商城使用安全币兑换现金,安全币兑换数量应不低于20个,该月底前付款至银行账户。如遇有节假日或其他特殊事由,发放时间可能延迟。

二、漏洞奖励标准

1. 基础奖励

漏洞奖励=业务系数X基础安全币。

360SRC根据业务的重要程度分为核心业务、一般业务、边缘业务三类。其中核心业务为360集团发布的价值较高、影响范围较广的业务和产品;边缘业务为日活量较低、影响范围较为有限的业务和产品;其他业务和产品归属为一般业务。

【核心业务产品】

https://security.360.cn/News/news/id/294

【业务系数】

漏洞奖励主要分为以下七种:Web/服务端漏洞、移动端漏洞、PC客户端漏洞、智能硬件端漏洞、隐私安全漏洞、威胁情报、Xsafe计划漏洞。
(注:1安全币=5元)

2.额外奖励

点赞币奖励:若白帽子提供的漏洞报告完整、清晰、漏洞定位明确并同时能够帮助审核及业务跟进处理,则可能被认定为优质漏洞报告。360SRC将根据优质漏洞报告内容和作用等为报告者奖励一定的点赞币。点赞币将统一发放为安全币,1点赞币等于1安全币。

三、贡献值体系

漏洞贡献值=漏洞基础贡献值X业务系数

(漏洞基础贡献值=漏洞基础安全币/5)

【漏洞基础贡献值】

自2023年3月1日起,白帽子新提交的漏洞报告将以计算漏洞贡献值,之前的漏洞贡献积分也将统一替换为漏洞贡献值,替换比率为1:1。我们将按照原有贡献值和新增贡献值总和进行排行,包括总排行、年度排行、季度排行、月度排行。

四、白帽子荣誉等级和成长的等级

荣誉等级:我们将根据白帽子自注册之日起已经获得的贡献值总和评定荣誉等级,荣誉等级将于每日实时进行更新。

成长等级:我们将根据白帽子上月最后一日前溯720日计算已经获得的贡献值总和并评定成长等级,成长等级将于当月15日进行更新。

五、360SRC专属福利

  1. 月度个人奖励
    https://security.360.cn/News/news/id/295
  2. 月度团队奖励
    https://security.360.cn/News/news/id/231
  3. 年度个人奖励
    年度个人贡献值排TOP5的白帽子将获得额外现金奖励、参加360SRC年度颁奖典礼及旅游名额。
  4. 年度团队奖励
    年度团队贡献值排TOP3的团队核心成员将获得参加360SRC年度颁奖典礼及旅游名额。
    (原季度旅游奖励已取消,升级年度个人奖励人数。若出现不可抗力因素,颁奖典礼及旅游可能会出现延期或取消情况)

六、漏洞定级标准

详情请见完整版【外部漏洞处理流程及评分标准说明V2.0】

https://security.360.cn/Reward/rules

七、漏洞审核原则

详情请见完整版【外部漏洞处理流程及评分标准说明V2.0】

https://security.360.cn/Reward/rules

八、通用规定

详情请见完整版【外部漏洞处理流程及评分标准说明V2.0】

https://security.360.cn/Reward/rules

温馨提示】各位白帽师傅在挖洞时一定要遵守360SRC漏洞处理流程及标准,切勿违规~

商务合作,文章发布请联系 anquanke@360.cn
分享到:微信
+129赞
收藏
360安全应急响应中心
分享到:微信

发表评论

360安全应急响应中心

360安全应急响应中心(360 Security Response Center,简称360SRC)是360公司致力于保障产品及业务安全,促进白帽专家合作与交流的平台。诚邀白帽专家向我们反馈360产品安全漏洞、威胁情报,共筑数字安全基石,保障数亿用户业务和产品的安全。

  • 文章
  • 51
  • 粉丝
  • 8

热门推荐

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66