在《腾讯外部漏洞报告处理流程(试行)》实施过程中,部分漏洞报告者发现其评分规则存在一些问题,将导致某些漏洞产生大量分值,为平台带来困扰。
为了避免这种情况出现,腾讯安全应急响应中心重新评估了评分标准并更新了《腾讯外部漏洞报告处理流程》。主要修改点为:
1、更新了通用型漏洞定义,同一漏洞源对应的若干漏洞将记为一个。包括但不限于泛域名解析产生的多个XSS漏洞、发布系统分发到CDN产生的HTML页面存在的XSS漏洞、404页面的XSS漏洞等都记为一个漏洞
2、更新了奖励发放原则
3、更新了FAQ
文档下载地址:【点击这里】,版本V1.1。之前版本的文档将失效
为了公平起见,新的评分标准将对12月1日起的漏洞生效,腾讯安全应急响应中心重新评估了涉及的所有漏洞,目前各漏洞报告者的分值均已有所调整。特别感谢阿里云盾的安全专家papaya对评分标准提出的建议及谦让精神,我们将特别赠送一份精美小礼品给他
感谢大家对腾讯安全工作的理解和支持!
【腾讯安全漏洞处理流程介绍】
腾讯一直非常重视产品和业务的安全问题,除了建设专门的安全团队和安全系统以外,还积极引入外部力量。腾讯参考借鉴了国外Google、Facebook、微软、苹果等公司的做法,于今年5月开展了“漏洞奖励计划”并推出了“漏洞反馈平台”,邀请广大安全专家帮助腾讯发现和修复安全问题。截至目前,已有超过100位安全专家帮助腾讯修复了很多安全问题,第一时间保护了广大用户的利益。目前该计划正在积极推进,欢迎更多的安全专家加入
捐款成功,感谢您的无私奉献
