全部产品
弹性计算 会员服务 网络 安全 移动云 数加·大数据分析及展现 数加·大数据应用 管理与监控 云通信 阿里云办公 培训与认证 智能硬件
存储与CDN 数据库 域名与网站(万网) 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 更多

附件一 漏洞收集流程 先知(安全情报)

更新时间:2017-06-07 13:26:11

云盾先知计划漏洞平台(以下简称先知平台)致力于构建和谐的互联网安全生态圈,为企业提供优质的SRC服务。同时,我们继续为白帽子提供全球通用软件0day漏洞收录平台。如果您发现入驻企业或第三方通用软件的漏洞,欢迎您向我们提交,我们会第一时间响应处理。为了表达您对互联网安全生态圈建设做出的贡献,我们将向您提供现金奖励和荣誉奖励,详见《漏洞奖励计划》及各入驻企业奖励标准

白帽子定义:

白帽子指通过先知平台参与漏洞提交过程的安全专家,能够识别计算机系统或网络系统中的安全漏洞,但并不会恶意利用,而是报告漏洞,帮助企业在被其他人恶意利用之前修补漏洞,维护计算机和互联网安全。

漏洞收集流程:

1. 登录并完善资料

白帽子使用淘宝网账号登录先知平台并完善资料和实名认证,请确保资料真实有效,并及时更新。

企业入驻请访问:http://www.aliyun.com/product/xianzhi

2. 提交漏洞

白帽子根据漏洞提交页面指引,提交安全漏洞信息。请务必详尽,漏洞描述越具体,越便于我们准确反馈给出合理的价格。【状态:审核中】

3. 审核漏洞

漏洞提交后48小时内(法定节假日顺延),我们会对收到的漏洞报告进行内部评估。

1) 漏洞不存在或者重复上报,我们将驳回漏洞,并告知驳回理由;【状态:已驳回】

2) 漏洞描述不清,请白帽子在72小时内补充漏洞信息便于评估,超过72小时未补充系统将驳回漏洞;【状态:待补充】

3) 漏洞经过验证确认存在,我们将在平台上确认漏洞。【状态:已审核】

4. 确认奖励

我们将在漏洞确认存在后72小时内(法定节假日顺延),通用软件漏洞将按照《漏洞验收标准》中漏洞奖励标准确定奖励金额;第三方企业漏洞将根据企业自定义奖励标准奖励。【状态:已奖励】

5. 发放奖励

漏洞奖励给出后,会直接发放到白帽子支付宝账户。【状态:已奖励】

若白帽子不接受奖励金额,可进行人工申述,我们将尽快与白帽子联系,共同协商奖励金额。【状态:已奖励】

6. 企业修复漏洞

企业将在漏洞被确认后根据漏洞的修复情况,更新漏洞的状态到已修复。【状态:已修复】

 

通知企业流程(针对通用软件漏洞):

1. 漏洞经过验证确认存在,我们将及时通知企业确认漏洞;

2. 企业响应漏洞,并及时确认漏洞,告知漏洞处理进展;

3. 企业修复漏洞,告知漏洞已修复。

 

本文导读目录