OSRC经过两年的发展,影响力逐步提升,也越来越受到安全圈以及安全研究者的认可,值此两周年之际,OSRC对现有评分标准进行了全新升级,同时,进行了第五次的奖金升级,下面就带大家一起看看新的规则有什么不一样吧。
01
评分规则分类更细化、更合理
基于OPPO业务的发展,我们在漏洞分类上拆分出了六大评分标准,大家在提交漏洞的时候可以很清晰的找到漏洞的归属规则,这六大标准包括:
-
《互联网应用安全漏洞评分标准》
-
《终端安全漏洞评分标准》
-
《IoT安全漏洞评分标准》
-
《隐私漏洞评分标准》
-
《开发者App恶意行为评分标准》
-
《安全情报评分标准》
在这次改版中,我们首次将开发者App恶意行为、隐私漏洞纳入到接收范围,这也表明我们对用户负责任的态度,对于危害到用户隐私安全的行为,OPPO安全零容忍。
02
奖金再度升级,额外奖励翻倍
03
关注开发者App恶意行为/ 自有App隐私漏洞
OPPO认为用户隐私与产品品质同样重要,我们将用户隐私保护视为产品的安全基线。
在今年7月份,OPPO安全联合软件商店,在开发者App上架审核规范中,首次增加了对恶意行为和隐私安全的检测和审核。
开发者App恶意行为涉及到整个软件商店上架的App,量级达到几十万款,对OPPO安全来说既是挑战,也是必须达成的目标。我们将通过整合内部及外部的力量,共同维护App市场的安全生态,更好的服务于OPPO用户。
隐私漏洞是本次关注的重点方向之一,此次将先圈定OPPO自有业务范围。未来在适当的时候,我们也可能将范围扩大到整个软件商店的App,敬请期待。
04
互联网应用安全标准升级
05
明确终端/IoT安全漏洞范围
作为一家软硬服一体化的科技公司,终端、IoT的重要性不言而喻,本次终端、IoT安全评分标准中,我们将终端和IoT安全漏洞分别单独成一类,同时明确终端、IoT的评分范围,对各个级别的漏洞进行了明确举例,同时,单个漏洞的最高奖励也是在终端、IoT安全漏洞中。
如涉及到Web及App安全漏洞,评分标准见《互联网应用安全漏洞评分标准》。
06
安全情报类型梳理
安全情报是提高公司安全水平的重要依据,在这次评分标准升级中,安全情报包含漏洞线索、攻击线索和攻击者线索这三大部分,基本覆盖常见的安全情报类型。根据他们的危害性和情报的效用性,增加了从严重到低危4条攻击者线索项目。
最后,我们汇总下本次升级后,OSRC不同类别的奖励金额如下,另外,对于影响特别大的漏洞,我们还可以提供最高达10万元额外奖励。
康康清晰的表格
以上就是本次的奖励规则解读,有疑问的可以点击阅读全文到官网查看详情~~
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论