通用性安全问题奖励计划(初定)
360的库带计划在国内迈出了让白帽子得到物质奖励的第一步,并且得到了很多人的认可,加上乌云在处理客户端或者通用性安全漏洞上一直存在着缺陷,我们希望我们也可以在流程和奖励上做一些更积极的尝试,下面是一些关于乌云通用性漏洞奖励计划的更详细的一些想法:
1 漏洞奖励而不是购买,我们强烈反对以各种目的的漏洞购买行为,乌云通用漏洞奖励计划并不收购漏洞,相反我们要求坚持乌云现有的安全漏洞处理流程,但会为减少通用安全漏洞的扩散可能带来的影响而会对流程进行改进,漏洞会与现有乌云处理流程一样首先直接通知给相应厂商,然后再一段时间后引入能够消除该漏洞影响的安全厂商和白帽子,最后向公众公开的周期将延长至3个月
2 漏洞奖励而不是购买,我们给出的奖励并不代表着该漏洞实际的价值,相反我们认为任何一个安全漏洞本身蕴含的价值是非常大的,我们不应该以实际的物质价值来衡量,我们只能对那些不作恶而且愿意分享和帮助其他用户避免风险的白帽做出奖励,我们尽我们最大的努力来实现这一点
3 漏洞奖励而不是购买,我们一直认为安全漏洞的价值在于为用户避免了多大的价值损失,所以对于安全漏洞的评估我们会严格按照我们规定的标准进行,我们鼓励对漏洞的公开探讨和学习以最准确的评估该漏洞可能带来的影响
所以本次漏洞奖励的计划的范围为:
1 通用性安全漏洞(包括重点应用和非重点应用)
重点应用:影响较大,覆盖用户量广的重点软件列表(360安全浏览器 360安全卫士 QQ客户端 IE浏览器 淘宝旺旺 Discuz! phpwind Ecshop 该列表会持续更新)
其他应用:列表里的其他非重点软件(暴风影音 手机助手 dedecms phpcms coremail 该列表会持续更新)
由于云端漏洞,譬如某单独站点漏洞,云端某服务漏洞厂商都可以很短时间内解决,也不会影响到其他用户和企业的安全,所以暂时不会进入乌云漏洞奖励计划,但是乌云会继续提升wb的价值
2 漏洞奖励的规则
高危漏洞:无条件限制直接获取目标核心数据或完全控制业务逻辑(如360浏览器远程代码执行,QQ客户端远程代码执行,Discuz!远程代码执行)
中危漏洞:一定条件下能够获取目标核心数据和完全控制业务逻辑(如需要交互的代码执行,一定条件下的SQL注射)
低危漏洞:非常苛刻条件下能够获取一些核心数据和控制一些业务逻辑或者能够获取目标非核心数据和控制部分非核心业务逻辑(如一般意义的xss漏洞)
我们认为任何安全问题均要考虑实际环境,相比于无需任何额外条件即可控制目标的漏洞产生的价值一定高于需要点击或者交互所产生的价值,除非得到实际的证明,否则漏洞将按照最低标准限定
3 漏洞奖励的金额
重点应用 高危 10000 RMB
重点应用 中危 2000 RMB
重点应用 低危 500 RMB
其他应用 高危 2000 RMB
其他应用 中危 500 RMB
其他应用 低危 0RMB
欢迎各位拍砖,目前也在积极的和安全公司沟通中,希望他们能够加入到乌云漏洞处理流程里来
谢谢!