En

[TPSA20-18]攻略丨TSRC最新漏洞处理评分标准正式出炉!

公告编号:TPSA20-18公告来源:TSRC发布日期:2020-05-21

分享

伴随着TSRC八周年的到来,酝酿已久的新版《TSRC漏洞处理和评分标准》正式出炉!
更高的奖金上限,更完善的漏洞贡献体系,上不封顶的额外奖励......小编粗略地测算了一下,TSRC每年在白帽漏洞奖励上的投入,将增加至少百万元!
新规则将于2020年5月21日00:00正式实施,在此时间后提交的漏洞将按新规则执行。
不要怀疑!接下来,就让小编为大家划划重点,新的评分及奖励标准,都有哪些变化。

1.全新的贡献值体系 ——更能体现贡献度

新的贡献值体系将作为白帽子荣誉激励、TSRC节庆礼品关怀、年度特别奖励的重要参考。
在TSRC旧的贡献值体系下:单个漏洞贡献值 = 积分; 

在TSRC新版贡献值体系下:单个漏洞贡献值 = 积分 * 贡献系数 ;
积分打分规则保持不变。
何为贡献系数?——我们根据腾讯产品的重要程度和发展现状,给予不同等级漏洞的安全币加成值。
在新标准下,我们在漏洞赏金范围内将产品划分为核心产品、重点产品、边缘产品,并打造了全新的贡献系数矩阵。新规则中漏洞等级、积分、贡献系数对应关系如下:


例如:
1.白帽子提交了一个重点产品的高危并获确认。假设此漏洞最终积分为7分,该漏洞贡献值最终为:7 * 69 = 483;
2.白帽子提交了一个核心产品的严重漏洞并获确认。假设此漏洞最终积分为9分,则该漏洞贡献值最终为:9 * 220 = 1980;
注:后续TSRC相关翻倍运营活动,将仅就安全币进行翻倍,而不针对贡献值进行翻倍。 

贡献值更新时间:每日凌晨2点钟

2.​全新的荣誉榜榜单

全新总、年、月排行


我们以2020年5月21日0时为节点,之前的贡献值以“积分 * 旧贡献系数”进行追溯计算,之后的贡献值以“积分 *新贡献系数”进行计算,两者累加得出新版贡献值排行榜,包括总排行、年排行、月排行。
注:旧贡献系数分别为:低危(9)、中危(15)、高危(60)、严重(120)。
5月21日0点后提交的漏洞,按照新的贡献系数实施。 


凌烟阁
因贡献值排名体系变更,为感谢白帽子八年来的支持,TSRC保留从20120520至20200520的旧体系排名,特设凌烟阁。感谢你们对安全的付出。


特别奖励榜
为了更加清晰地展示出因贡献巨大获得特别奖励的白帽子,TSRC也增设“特别奖励榜”,列举特别现金奖励信息。


3.基础奖励方案上调

单个漏洞基础奖励最高超万元
漏洞基础奖励仍以安全币的形式发放,1贡献值=1 安全币= 5 元人民币。
在新标准下,按上述对应关系换算,单个漏洞基础奖励最高奖励将超过1万元。

注:在后续的TSRC活动中,单个漏洞还能拿到更多翻倍奖励。以具体活动规则为准。

4.新设漏洞报告质量奖 ——最高5000元

我们鼓励白帽子提供更加清晰、定位明确且能帮助业务快速跟进的漏洞报告,并根据实际情况,为高质量报告者提供最高 5000 元人民币的现金奖励,以安全币形式发放。
例如:
漏洞利用链复杂或需多账号多动作才可以达成利用效果的漏洞,逐步编写漏洞利用流程,并为每个动作提供如 HTTP 请求包文本、测试思路、详细的 Payload、可一键执行并复现的 POC 脚本或已尝试的 Payload 列表和日志等信息,帮助 TSRC 和业务同事快速准确地复现、跟进和修复漏洞。

5.严重漏洞额外现金奖 ——上不封顶 


TSRC基础漏洞奖励全新升级。对于为核心业务或重点业务提供高质量严重漏洞报告的白帽子,及思路新颖或影响范围大,对腾讯业务安全做出突出贡献的报告者,TSRC 将额外提供现金奖励,通过“月度奖励”形式进行发放。奖励标准如下:
核心产品的严重漏洞:税后 3 万以上人民币;
重点产品的严重漏洞:税后 1~3 万人民币 ;
思路新颖或影响范围大,对腾讯业务安全做出突出贡献的报告者:税后 5 千以上人民币;
此外对于影响巨大的通用软件严重漏洞:最高额度 100 万人民币。

6.年度特别奖励

根据白帽子报告的严重/高危漏洞数量、报告内容详实、协助复现与修复、保持友好沟通、遵守安全测试规范、对收敛类似风险的帮助、对优化安全系统的帮助等多方面进行综合评选年度特别奖励获得者。
具体细则,请通过下述链接、或者登陆TSRC官网查看:https://security.tencent.com/uploadimg_dir/other/TSRC.pdf


TSRC八岁了!感谢所有白帽子一路相随,不离不弃。
新的征程,我们继续并肩前行,做光荣的安全守夜人!