360SRC【外部漏洞处理流程及评分标准V2.0】试行

admin 2023年3月6日16:46:56评论52 views字数 2960阅读9分52秒阅读模式

前言

为提高360SRC的处理效率,增进360SRC与白帽子的合作,我们将漏洞奖励标准进行统一,后续白帽子提交的漏洞情报等级将按照本标准进行评定。

如果您对本标准有任何的建议,可通过 360SRC 官方邮箱([email protected])或者微信公众号(360安全应急响应中心)向我们进行反馈。本标准自 2023 年3 月1日起施行。

01

适用范围

本标准适用于360集团发布的产品和业务,此外360集团所投资的部分公司、子公司、合资公司等也在收录范围内,具体范围可参考

https://security.360.cn/Product/product 。


02

威胁反馈与处理流程

360SRC【外部漏洞处理流程及评分标准V2.0】试行

1. 漏洞审核

对于web/服务端/移动端漏洞,我们将在三个工作日内进行审核;其他漏洞审核时间可能有所延长。

2. 漏洞确认及修复

漏洞审核通过后,漏洞状态会更改为“正在修复”,漏洞确认后将进行初评级(初评级阶段不显示漏洞等级与奖励)。

业务部门将修复所报告的问题,修复时间根据问题严重程度、修复难度和业务情况而定。Web端、服务端、客户端的严重及高危漏洞若三个月内未修复,白帽子可以重新提交漏洞,客户端漏洞仅收录第一次

3. 安全币发放

我们在漏洞最终定级后将会把安全币发放至白帽子账户中,漏洞详情页显示安全币金额则为已发放。

4. 奖金兑换

白帽子可每月1~7日在360SRC官网商城使用安全币兑换现金,安全币兑换数量应不低于20个,该月底前付款至银行账户。如遇有节假日或其他特殊事由,发放时间可能延迟。


03

漏洞奖励标准

1. 基础奖励

漏洞奖励=业务系数*基础安全币。

360SRC根据业务的重要程度分为核心业务、一般业务、边缘业务三类。其中核心业务为360集团发布的价值较高、影响范围较广的业务和产品;边缘业务为日活量较低、影响范围较为有限的业务和产品;其他业务和产品归属为一般业务。

【核心业务产品】

https://security.360.cn/News/news/id/294

【业务系数】


_

业务系数


_

核心业务

一般业务

边缘业务

1.2~1.5

0.8~1.0

0.1~0.5


漏洞奖励主要分为以下七种:Web/服务端漏洞、移动端漏洞、PC客户端漏洞、智能硬件端漏洞、隐私安全漏洞、威胁情报、Xsafe计划漏洞。

 (注:1安全币=5元)

漏洞类型 

严重

高危

中危

低危

web漏洞

基础安全币

1000~1400

300~600

30~100

2~15

移动安全漏洞

基础安全币

1000~2000

600~800

200~400

5~20

PC客户端漏洞

基础安全币

800~1200

200~600

100~200

5~15

智能硬件漏洞

基础安全币

3000起

1000~2500

400~800

20~300

隐私漏洞

基础安全币

/

_

100~150

40~80

1~20

威胁情报

基础安全币

600~1000

200~500

30~100

2~15

Xsafe计划漏洞

安全币

2000起

300~1000

150~300

1~30


2.额外奖励

点赞币奖励:若白帽子提供的漏洞报告完整、清晰、漏洞定位明确并同时能够帮助审核及业务跟进处理,则可能被认定为优质漏洞报告。360SRC将根据优质漏洞报告内容和作用等为报告者奖励一定的点赞币。点赞币将统一发放为安全币,1点赞币等于1安全币。


04

贡献值体系

漏洞贡献值=漏洞基础贡献值*业务系数

(漏洞基础贡献值=漏洞基础安全币/5)

【漏洞基础贡献值】

漏洞类型 

严重

高危

中危

低危

web漏洞

基础贡献值

200~280

60~120

6~20

1~3

移动安全漏洞

基础贡献值

200~400

120~160

40~80

1~4

PC客户端漏洞

基础贡献值

160~240

40~120

20~40

1~3

智能硬件漏洞

基础贡献值

600起

200~500

80~160

4~60

隐私漏洞

基础贡献值

/

_

20~30

8~16

1~4

威胁情报

基础贡献值

120~200

40~100

6~20

1~3

自2023年3月1日起,白帽子新提交的漏洞报告将以计算漏洞贡献值,之前的漏洞贡献积分也将统一替换为漏洞贡献值,替换比率为1:1。我们将按照原有贡献值和新增贡献值总和进行排行,包括总排行、年度排行、季度排行、月度排行。


05

白帽子荣誉等级和成长等级

荣誉等级:我们将根据白帽子自注册之日起已经获得的贡献值总和评定荣誉等级,荣誉等级将于每日实时进行更新。

成长等级:我们将根据白帽子上月最后一日前溯720日计算已经获得的贡献值总和并评定成长等级,成长等级将于当月15日进行更新。

荣誉等级

成长等级

旧榜单:积分

新榜单:贡献值

初窥门径

LV 1

0~199

0~199

略有小成

LV 2

200~799

200~799

小有名气

LV 3

800~1599

800~1599

闻名遐迩

LV 4

1600~2499

1600~2499

如雷贯耳

LV 5

2500及以上

2500及以上


06

360SRC专属福利

1. 月度个人奖励

https://security.360.cn/News/news/id/295

2. 月度团队奖励

https://security.360.cn/News/news/id/231

3. 年度个人奖励

年度个人贡献值排TOP5的白帽子将获得额外现金奖励、参加360SRC年度颁奖典礼及旅游名额。

4. 年度团队奖励

年度团队贡献值排TOP3的团队核心成员将获得参加360SRC年度颁奖典礼及旅游名额。

(原季度旅游奖励已取消,升级年度个人奖励人数。若出现不可抗力因素,颁奖典礼及旅游可能会出现延期或取消情况)

07

漏洞定级标准

点击文末阅读原文见完整版【外部漏洞处理流程及评分标准说明V2.0】。

08

漏洞审核原则

点击文末阅读原文完整版【外部漏洞处理流程及评分标准说明V2.0】。

09

通用规定

点击文末阅读原文完整版【外部漏洞处理流程及评分标准说明V2.0】。


Q
&
A

Q

360SRC的1个安全币相当于多少人民币?

1个安全币=5元人民币

Q

新标准生效前获得的现金如何处理?

新标准生效前已经获得的漏洞奖金,将在审核通过且收到准确收款信息后发放至白帽子提交的银行账户中,23年2月份的漏洞奖金将于23年3月中下旬发放。

Q

新标准生效前获得的积分如何处理?

新标准生效前获得的积分将等额替换为安全币,即1积分=1个安全币,白帽子可在官方商城用安全币兑换现金或商品。

Q

新标准生效后荣誉等级、成长等级如何计算?

荣誉等级为白帽子自注册之日起已经获得的贡献值总和评定荣誉等级,成长贡献值为白帽子上月最后一日前溯720日计算已经获得的贡献值总和并评定成长等级。

白帽子新提交的漏洞报告将以计算漏洞贡献值,之前的漏洞贡献积分也将统一替换为漏洞贡献值,替换比率为1:1,我们将按照原有贡献值和新增贡献值总和进行计算。

Q

安全币翻倍活动期间,贡献值是否翻倍?

我们可能不定期举行安全币翻倍活动,活动期间白帽子提交漏洞报告且最终定级的,所获得的安全币翻倍,但贡献值不变、不翻倍。若白帽子在双倍活动期间,提交了一个核心业务价值基础安全币为500(基础贡献值为100)、业务系数为1.2的web高危漏洞,最终获得安全币为500*1.2*2=1200,获得贡献值为100*1.2=120分。


【温馨提示】各位白帽师傅在挖洞时一定要遵守360SRC漏洞处理流程及标准,切勿违规~

原文始发于微信公众号(360安全应急响应中心):360SRC【外部漏洞处理流程及评分标准V2.0】试行

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月6日16:46:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   360SRC【外部漏洞处理流程及评分标准V2.0】试行http://cn-sec.com/archives/1589605.html

发表评论

匿名网友 填写信息