唯品会安全应急响应中心(VSRC).PDF

唯品会安全应急响应中心(VSRC) ——漏洞处理流程和评分标准 3.0 版 编写人 唯品会安全应急响应中心 版本号 3.0 更新日期 2017-01-01 目录 唯品会安全应急响应中心(VSRC) 1 我们承诺4 一、漏洞反馈和处理流程5 1.1、预报告阶段5 1.2、报告阶段5 1.3、处理阶段5 1.4、修复阶段5 1.5、完成阶段5 二、贡献值和安全币计算方法6 2.1、贡献值对应表7 2.2、安全币对应表7 三、漏洞等级8 3.1、严重漏洞8 3.2、高危漏洞9 3.3、中危漏洞9 3.4、低危漏洞10 3.5、无影响11 四、业务系数11 五、漏洞自动忽略说明11 六、奖励兑换12 6.1 兑换比例12 6.2 兑换时间12 七、团队季度奖励细节13 八、个人季度奖励细节14 九、年度奖励细节15 十、评分标准通用原则16 十一、争议解决办法17 我们承诺 1、 我们承诺，对每一位漏洞报告者反馈的问题都有专人进行跟进、分析和处理，并及时给 予答复 ； 2、唯品会支持合作式的漏洞披露和处理，对于每位恪守白帽子精神，保护用户利益，帮助 唯品会提升安全质量的用户，我们将给予感谢和回馈 ； 3、唯品会反对和谴责一切以漏洞测试为借口，利用安全漏洞进行破坏、损害用户利益的黑 客行为，包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数 据、恶意传播漏洞等 ； 4、唯品会认为每个安全漏洞的处理和整个安全行业的进步，都离不开各方的共同合作。希 望企业、安全公司、安全组织、安全研究者一起加入到“合作式的漏洞披露和处理”过程 中来，共建安全健康的互联网环境 ，共同保护广大互联网用户。 一、漏洞反馈和处理流程 1.1、预报告阶段 漏洞报告者登陆唯品会安全应急响应中心漏洞反馈平台（/report ）注册账 号。 1.2、报告阶段 漏洞报告者登陆唯品会漏洞反馈平台，提交漏洞信息（状态：未审核）。 1.3、处理阶段 三个工作日内，VSRC 工作人员处理问题，给出结论并评分（状态：修复中/已忽略）。必要 时会与报告者沟通确认，请报告者予以协助。 1.4、修复阶段 业务部门修复漏洞并安排更新上线（状态：已修复）。修复时间根据问题的严重程度及修复 难度而定，一般来说，严重和高风险漏洞 24 小时内，中风险三个工作日内，低风险七个工 作日内。客户端漏洞受版本发布限制，修复时间根据实际情况确定。 1.5、完成阶段 VSRC 每季度第一周内 ，发布上季度的漏洞处理公告，并向上季度的漏洞报告者致谢并发放 礼品。 二、贡献值和安全币计算方法 1、 【贡献值】由漏洞对应的危害程度以及业务的重要程度决定： 贡献值的计算公式：贡献值 = 基础贡献值 x 业务系数 2、 【安全币】由漏洞对应的危害程度以及业务的重要程度决定： 安全币的计算公式：安全币 = 基础安全币 x 业务系数 3、 【示例】1 个直接获取核心WEB 服务器权限的严重漏洞可获得 16,000 元人民币奖励 贡献值 = 基础贡献值 （严重：10 ）x 业务系数 （核心：10 ）= 100 贡献值 安全币 = 基础安全币 （严重：60 ）x 业务系数 （核心：10 ）= 600 安全币 额外奖励 10,000 元人民币 （其余漏洞评分依次类推 ） 注：“业务系数”明细见下文内的第四点 2.1、贡献值对应表 基础贡献值 严重漏洞 高危漏洞 中危漏洞 低危漏洞 业务系数 （9~10 ） （6~8 ） （3~5 ） （1~2 ） 核心业务（10 ） 90~100 60~80 30~50 10~20 一般业务（4 ）