本文介绍漏洞评级原则。
评分标准通用原则
- 该标准仅适用于入驻先知平台的企业,并且只针对企业已明确说明接收漏洞的产品及业务(企业已明确说明不接收的漏洞将做驳回处理)。如企业已明确说明的漏洞等级调整,将以企业调整为准。对于企业边缘业务将根据其重要程度适当调低漏洞等级。
- 各等级漏洞的最终贡献值数量由漏洞利用难度及影响范围等综合因素决定。若漏洞触发条件非常苛刻,包括但不限于特定浏览器才可触发的XSS漏洞,则可跨等级调整贡献值数量。
- 同一个漏洞源产生的多个漏洞所计的漏洞数量为一。例如同一个接口引起的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域名解析产生的多个安全漏洞等。
- 第三方产品的漏洞只给第一个提交者计贡献值,且漏洞等级不高于中,包括但不限于企业所使用的WordPress、Flash 插件以及Apache等服务端相关组件、OpenSSL、第三方SDK等;不同版本的同一处漏洞视为相同漏洞。
- 同一漏洞,首位报告者计贡献值,其他报告者均不计。
- 在漏洞未修复之前,被公开的漏洞不计分。
- 报告网上已公开的漏洞不计贡献值。
- 同一份报告中提交多个漏洞,只按危害级别最高的漏洞计贡献值。
- 以测试漏洞为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为,将不会计贡献值。同时,先知平台将联合入驻企业保留采取进一步法律行动的权利。
- 遇到部分漏洞争议,平台依靠现有规则进行约束沟通,但最终的漏洞定级和是否收取由厂商确定。
争议解决办法
在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过漏洞详情页面的留言板或者通过即时通讯联系在线工作人员及时沟通。先知平台将按照漏洞报告者利益优先的原则与企业三方协调处理,必要时可引入外部安全人士共同裁定。