公告编号:TPSA13-06公告来源:TSRC发布日期:2013-02-17
【概述】
腾讯非常重视安全,也愿意在安全上投入更多资源。在腾讯高层领导的大力支持下,2012年5月腾讯在国内率先推出安全漏洞反馈平台并开展“漏洞奖励计划”,向漏洞报告者提供奖励,开创了国内安全漏洞奖励模式的先河。
【漏洞处理情况】
作为腾讯安全事件应急响应机构,腾讯安全应急响应中心(TSRC)2012年共处理了外部反馈的2288个安全漏洞。由于2012年5月开始启动了“漏洞奖励计划”,在众多安全专家的帮助下,2012年得到的漏洞数是2011年的6倍多。
2288个漏洞中来自TSRC漏洞反馈平台的有1910个;通过非官方渠道报告漏洞378个,主要来自乌云漏洞报告平台,提供了其中的302个安全漏洞。TSRC对所有帮助腾讯提升安全质量的安全专家表示感谢。
【奖励计划实施情况】
2012年腾讯 “漏洞奖励计划”共计为659人次提供了奖励,奖品包括苹果笔记本、iPad、三星Galaxy手机、微软Xbox、小Q机器人、U盘、商务背包、Q币、QQ公仔等(具体参见 http://security.tencent.com/index.php/prize ),加上邮寄费、奖品个税、人工成本等,漏洞奖励的投入经费超过30万人民币,是目前国内企业中为安全漏洞奖励投入最多、覆盖面最广的。
另外,TSRC还与业界许多安全团队建立了友好的沟通交流渠道,为业界联合推动行业安全健康发展打下了基础。
【经验总结沉淀】
由于腾讯在线互联网业务众多,故外部发现的漏洞以Web类漏洞居多。Web漏洞出现较多的类型是XSS、CSRF、JSON Hijacking,经过相关扫描器团队的规则优化,漏洞数量得到部分收敛。各月漏洞分类如下图:
通过对安全漏洞的总结,这些安全漏洞共为腾讯自有安全系统提供了46条优化策略,涉及Web、PC客户端、移动客户端、Server等安全领域及多个安全团队。优化措施实施后,腾讯自有安全系统又发现了上千个同类安全漏洞并及时修复,极大地提升了腾讯的安全质量,保护了广大用户信息安全。
基于目前的经验和收获,TSRC建议企业特别是互联网企业应该有自己的安全团队和外部安全漏洞处理机制(可参考“负责任的漏洞披露过程”),如条件允许,可以为漏洞报告者提供奖励。
同时,TSRC在运营过程中也协助微软、百度、阿里巴巴等企业提升了产品的安全质量,保护了广大用户,为提升互联网安全尽一份力。记录如下:
Sourceforge致谢公告: http://sourceforge.net/blog/phpmyadmin-back-door/
PHPMyAdmin致谢公告:http://www.phpmyadmin.net/home_page/security/PMASA-2012-5.php
微软的致谢公告:http://technet.microsoft.com/zh-cn/security/bulletin/ms13-011
【未来计划】
1、 继续实施“漏洞奖励计划”,并增加奖品投入
2、 加强与漏洞报告者互动,包括建设沟通渠道、举办线下沙龙等
3、 与更多的安全团队建立合作关系
4、 更多地将安全经验沉淀输出给业界
【结语】
如果说2012是一个划时代的开始,那么2013将是扬帆远航。一言蔽之,我们的工作还存在许多不足,但我们一直在改进,真诚欢迎大家的批评建议!
【腾讯安全漏洞处理流程介绍】
腾讯一直非常重视产品和业务的安全问题,除了建设专门的安全团队和安全系统以外,还积极引入外部力量。腾讯参考借鉴了国外Google、Facebook、微软、苹果等公司的做法,于2012年5月开展了“漏洞奖励计划”并推出了“漏洞反馈平台”,邀请广大安全专家帮助腾讯发现和修复安全问题。截至目前,已有超过100位安全专家帮助腾讯修复了很多安全问题,第一时间保护了广大用户的利益。目前该计划正在积极推进,欢迎更多的安全专家加入
捐款成功,感谢您的无私奉献
