本文介绍漏洞收集及处理流程。
操作步骤
企业用户登录自己的阿里云账号并完善企业资料,发布任务。
白帽子用户提交漏洞的流程:
漏洞提交后,先知平台运营人员会对所收到的漏洞报告进行内部评估。
漏洞不存在或者漏洞重复上报,运营人员将驳回该漏洞,标识为已驳回状态,并告知驳回理由。
漏洞描述不清,运营人员将返回该漏洞,并标识为待补充状态。建议白帽子在72小时内补充漏洞信息,以便运营人员进行评估。
漏洞经过验证确认存在,运营人员将在先知平台上确认该漏洞,并标识为已审核状态。
先知平台运营人员将在漏洞确认存在后24小时内,确认漏洞等级和奖金。
通用软件漏洞将按照《漏洞验收标准》中的漏洞奖励标准确定奖励金额。具体内容,请参见通用软件漏洞收集及奖励计划。
第三方企业确认收录漏洞后,将根据漏洞等级和数量发放奖励金额。具体内容,请参见不同等级漏洞的定价。
重要仅当企业确认漏洞收录后,才会将赏金发给白帽子用户。对于已审核通过的漏洞,如果企业未执行收录确认的操作,则在15天后会自动被收录。
白帽子在先知控制台的漏洞管理页面中找到已确认价格的漏洞,对漏洞等级和奖金(控制台展示均为税前金额)进行确认,漏洞状态被标识为奖金发放中状态。
若白帽子接受奖励金额,则进行确认操作,漏洞被标识为奖金发放中状态。
若白帽子不接受奖励金额,可进行人工申述。先知平台运营人员将尽快与白帽子联系,共同协商奖励金额。
先知平台运营人员将在白帽子确认漏洞等级和奖金后3个月内,发放奖励金额。
奖金会直接发放到白帽子入驻时填写的支付宝账号中,白帽子可登录支付宝账号查看奖金情况。
企业将在漏洞被确认后根据漏洞的修复情况更新漏洞的状态,漏洞修复完成后该漏洞将标识为已修复。具体内容,请参见查看和处理漏洞。
说明漏洞处理完成后,企业可关闭按量付费服务。如果企业已发布任务中包含未收录的漏洞,则不能关闭按量付费服务。