[TPSA14-05] 2013年度腾讯“漏洞奖励计划”工作报告

【概述】

腾讯非常重视安全，也愿意在安全上投入资源。继2012年开创了国内安全漏洞奖励模式的先河以来，2013年我们继续努力，为漏洞报告者提供了更丰厚的礼品奖励，同时推出了额外的现金奖励计划，为安全从业者迎来了一个新的春天。在这里，腾讯安全应急响应中心（TSRC）要感谢所有支持和帮助过我们的安全专家及安全团队。

【漏洞处理情况】

作为腾讯安全事件应急响应机构， TSRC2013年处理了外部反馈的若干个安全漏洞。由于“漏洞奖励计划”的激励，在众多国内外安全专家的帮助下，2013年得到的漏洞数相比去年有所增长。所有外部反馈漏洞中来自TSRC漏洞反馈平台的占比87%；通过非官方取到报告漏洞占比13%，主要来自乌云漏洞报告平台，提供了约11%的安全漏洞。

TSRC对所有帮助腾讯提升安全质量的安全专家表示深深的感谢和崇高的敬意。

【奖励计划实施情况】

2013年腾讯 “漏洞奖励计划”在现有丰富礼品奖励的基础上，推出了现金奖励计划、双倍积分激励活动、学生白帽子关怀活动等额外奖励机制。共计为294位个人和29个安全团队提供了奖励，奖品包括苹果笔记本、单反相机、iPad、iphone、金饰、U盘、商务背包、Q币、QQ公仔等（具体参见http://security.tencent.com/index.php/prize ），加上邮寄费、奖品个税、人工成本等，漏洞奖励的投入经费超过150万人民币，是目前国内为安全漏洞奖励投入最多、覆盖最广的企业。

另外，TSRC还与业界许多安全团队建立了友好的沟通交流渠道，为业界联合推动行业安全健康发展打下了基础。

【经验总结沉淀】

由于腾讯在线互联网业务众多，故外部发现的漏洞以Web漏洞居多。Web漏洞出现较多的类型为XSS、CSRF以及信息泄漏。经过相关扫描器团队的不断优化，漏洞数量得到部分收敛。同时，由于移动互联网的迅猛发展，移动终端的漏洞相比12年也有所增长趋势。各月漏洞分类如下图：

通过对安全漏洞的总结，这些安全漏洞共为腾讯自有安全系统提供了150多条优化策略，涉及Web、PC客户端、移动客户端、Server等安全领域和多个安全团队。优化措施实施后，腾讯自有安全系统发现了上千个同类安全漏洞并及时修复，极大地提升了腾讯的安全质量，保护了广大用户信息安全。

同时，TSRC在运营过程中也协助苹果、百度、阿里巴巴、网易、新浪、迅雷、360、搜狗等企业提升了产品的安全质量，保护了广大用户，为提升互联网安全尽一份绵薄之力。

【未来计划】

1、继续改善和实施“漏洞奖励计划”，加大奖品投入

2、加强与业内各安全团队的合作交流，举办更多的线下沙龙等活动。

3、更多地将安全经验沉淀输出给业界

【结语】

感谢所有支持和帮助过我们的安全专家和安全厂商们，2014年，欢迎更多的安全专家加入我们，我们会努力做得更好。目前我们的工作还存在许多不足，但我们一直在改进，真诚欢迎大家的批评建议！

【腾讯安全漏洞处理平台介绍】

腾讯一直非常重视产品和业务的安全问题，除了建设专门的安全团队和安全系统以外，还积极引入外部力量。腾讯参考借鉴了国外微软、谷歌、Facebook、苹果等公司的做法，于2012年5月开展了“漏洞奖励计划”并推出了“安全问题反馈平台”，诚邀广大安全专家帮助腾讯发现安全问题。截至目前，已有超过300位安全专家参与，帮助腾讯发现和修复了潜在的安全风险，第一时间保护了广大用户。目前该计划正在积极推进，欢迎更多的安全专家加入。