[TPSA15-10] 关于启动“互联网生态安全漏洞奖励计划”的公告

2014年4月8日，“心脏滴血”漏洞横空出世横扫全世界，各大互联网公司血流成河。“心脏滴血”漏洞在互联网史上写下了浓重的一笔，也仿佛推开了一扇黑暗之门。自此以后，“贵宾犬”漏洞、“幽灵”漏洞、“freak”漏洞以及“受戒礼”漏洞等基础通用软件安全漏洞的不断曝光，整个互联网行业被浓浓的“漏洞雾霾”所笼罩。

为了预防通用软件安全漏洞对互联网生态环境的破坏，早在2014年10月，腾讯安全应急响应中心就重磅推出了“通用软件漏洞奖励计划”。活动引起了海内外大量网络安全专家热烈响应，多位安全专家和技术研究团队针对通用框架、组件、应用程序或者系统的漏洞提交了大量报告并协助处理。我们非常感谢大家为保护互联网生态安全所做的贡献。

值此“心脏滴血”漏洞来袭一周年之际，腾讯安全应急响应中心正式决定在2015年4月8日将“通用软件漏洞奖励计划”升级为“互联网生态安全漏洞奖励计划”。在奖励漏洞报告者的同时，“互联网生态安全漏洞奖励计划”还会通过定向捐赠现金、组织安全技术交流等方式，帮助通用软件开发组织提高软件安全性。相比只奖励漏洞发现者的模式，我们认为这种新的做法更加有助于从根本上解决安全问题。

目前在全球范围内被广泛使用的通用软件，很多是由开源组织开发的，比如OpenSSL。开源组织通常是由分布在世界各地的程序员组成的松散联盟，缺乏安全方面的资源，因此在软件安全性方面往往心有余而力不足。这是一种普遍现象，我们很担忧这种状况对互联网生态安全产生的负面影响。所谓“求木之长者，必固其根本”，我们希望通过提供资金和安全能力等方式，帮助这些全球性的开源组织从根本上提升软件安全性，共同维护互联网生态安全。新的奖励计划优先考虑的软件较之前有了大幅度增加，重点新增了大数据存储、云和虚拟化相关的软件。

新的计划代号为“The Security Hero Project”，我们期待着互联网安全英雄的出现，你可能是一个团结而低调的安全团队，也可能是一个在小黑屋里忍耐着寂寞的白帽子，TSRC一直在执著的等待您的出现，我们携手保护互联网生态安全。希望我们用更多一分的努力和付出，唤起更多的厂商、安全研究团队和安全专家们的热情，共同创造更美好的互联网生态环境。

【适用条件】

1.     奖励计划适用各种常见通用软件，优先考虑以下列表：

a)     操作系统：Linux 、iOS 、Android

b)     Web服务器：Apache、Nginx、Tomcat

c)     存储系统：MySQL、Memcache

d)     开发语言：PHP、Java

e)     云和虚拟化：Xen、Hadoop

f)      其他重要软件： OpenSSL 、Struts

2.     漏洞危害级别为严重或高（一般是远程可以利用且危害较大），需要通过TSRC平台提交，定级标准按照TSRC标准执行；

3.     漏洞未在外部公开且未报告给其他机构或组织，需要提供可用的PoC 。

【奖励措施】

1.     漏洞的评估分值按照TSRC评分标准执行；

2.     对于影响巨大的漏洞会给予额外的现金奖励，最高额度50万，并且TSRC会以漏洞报告者的名义向该漏洞对应的软件基金会捐赠相同额度的现金，帮助其投入更多资源改进软件安全性（如果该软件是商业软件或者不接受捐赠，TSRC会将该费用捐献给其他公益项目）；

3.     奖励计划总额100万。

【后续处理】

TSRC确认漏洞后，将按照流程计分打款，同时将按照负责任的漏洞披露过程向官方提交，并向受到影响的合作伙伴共享漏洞信息。在此期间报告者不得公开漏洞信息。

【关于合作伙伴】

我们欢迎各大互联网厂商安全团队加入漏洞信息共享计划，使用厂商安全团队的官方邮箱发送申请邮件到security@tencent.com即可。合作伙伴在漏洞修复期间，不得将漏洞信息对外传播。

【其他事项】

1.     由于部分漏洞和官方沟通确认过程可能会较为复杂，在本计划执行过程中不可避免存在各种问题，需要各位海涵，TSRC愿意与大家一道捍卫互联网安全；

2.     争议处理办法参见TSRC“腾讯漏洞奖励计划”；

3.     TSRC抱着开放的心态，期望与各安全团队一起执行互联网生态安全漏洞奖励计划，共同保护互联网及用户安全。