腾讯非常重视安全,也愿意在安全上投入资源。继2012年开创了国内安全漏洞奖励模式的先河以来,我们不断努力,为报告者提供更丰厚的礼品和年度现金奖励。2014年,我们更创造了一个新的历史,对于严重的安全问题,我们直接给予即时现金奖励,为安全从业者创造了更多的机会和财富。在这一年一度的新旧交替之际,腾讯安全应急响应中心(TSRC)要感谢所有支持和帮助过我们的安全专家及安全团队。
【漏洞处理情况】
作为腾讯安全事件应急响应机构, TSRC 2014年处理了外部反馈的若干个安全漏洞。由于12,13年“漏洞奖励计划”的激励,在众多国内外安全专家的帮助下,我们自身业务的安全水平以及自有系统的检测防御能力均得到大幅提高,2014年得到的漏洞数相比去年有所减少。所有外部反馈漏洞中来自TSRC漏洞反馈平台的占比84%;通过非官方取到报告漏洞占比16%,主要来自乌云漏洞报告平台,提供了约12%的安全漏洞。
TSRC对所有帮助腾讯提升安全质量的安全专家表示深深的感谢和崇高的敬意。
【奖励计划实施情况】
2014年腾讯 “漏洞奖励计划”在现有丰富礼品奖励、月度奖励、年度现金奖励、学生白帽子关怀活动的基础上,推出了即时现金奖励、白帽子节假日关怀活动等额外奖励机制。共计为259位个人和38个安全团队提供了奖励,奖品包括苹果笔记本、单反相机、iPad、iphone、金饰、U盘、商务背包、Q币、QQ公仔等(具体参见http://security.tencent.com/index.php/prize ),加上邮寄费、奖品个税、人工成本等,漏洞奖励的投入经费超过300万人民币,是目前国内为安全漏洞奖励投入最多、覆盖最广的企业。
另外,TSRC还与业界许多安全团队建立了友好的沟通交流渠道,为业界联合推动行业安全健康发展打下了基础。
【经验总结沉淀】
由于腾讯在线互联网业务众多,故外部发现的漏洞以Web漏洞居多。Web漏洞出现较多的类型为XSS、CSRF以及信息泄漏。经过相关扫描器团队的不断优化,漏洞数量得到部分收敛。同时,由于移动互联网的迅猛发展,移动终端的漏洞相比13年也有所增长趋势。各月漏洞分类如下图:
同时,TSRC在运营过程中也协助百度、阿里巴巴、网易、新浪、迅雷、360、搜狗、京东等企业提升了产品的安全质量,保护了广大用户,为提升互联网安全尽一份绵薄之力。
【未来计划】
1、继续改善和实施“漏洞奖励计划”,礼品走定制差异化路线,上线更多的激励模式。
2、加强与业内及高校安全团队的合作交流,举办更多的线下城市沙龙、高校校园行等活动。
3、利用TSRC官方博客、微博(@腾讯安全应急响应中心)更多地将安全经验沉淀输出给业界。
【结语】
感谢所有支持和帮助过我们的安全专家和安全厂商们,2015年,欢迎更多的安全专家加入我们,我们会努力做得更好。目前我们的工作还存在许多不足,但我们一直在改进,真诚欢迎大家的批评建议!
【腾讯安全漏洞处理平台介绍】
腾讯一直非常重视产品和业务的安全问题,除了建设专门的安全团队和安全系统以外,还积极引入外部力量。腾讯参考借鉴了国外微软、谷歌、Facebook、苹果等公司的做法,于2012年5月开展了“漏洞奖励计划”并推出了“安全问题反馈平台”,诚邀广大安全专家帮助腾讯发现安全问题。截至目前,已有超过500位安全专家参与,帮助腾讯发现和修复了潜在的安全风险,第一时间保护了广大用户。目前该计划正在积极推进,欢迎更多的安全专家加入。
