京东外部威胁处理规则.PDFVIP

京东外部威胁处理规则 编写人 京东安全应急响应中心 版本号 V5.0 适用范围 通过 （，以下简称JSRC ）反馈平台收到的所有威胁报告 最后更新时间 2017-09-04 V1.0 首发：2013-04-12 V2.0 修改评分标准并提高奖励力度，更新评级规范：2014-07-29 V3.0 修改评分标准并提高奖励力度；更新评级规范：2015-03-11 修订记录 V4.0 更新评分标准并提高奖励力度；更新评级规范：2015-05-18 V5.0 新增和更新评分标准细则、范围等，新增FAQ：2017-08-29 目录 基本原则 2 威胁反馈与处理流程 3 威胁报告评分标准 4 漏洞报告评分标准 4 情报评分标准 6 通用组件和扫描插件评分标准 7 分值计算 8 业务范围及通用原则 8 业务范围 8 通用原则 9 争议解决办法 9 FAQ 10 附：扫描插件Demo 11 基本原则 1) 京东非常重视安全威胁信息并关注安全问题本质，我们承诺，对每一位报告者的问题 提供专人跟进、分析和处理，并及时予以答复或反馈。 2) 京东支持合作式的漏洞披露和处理，对于每一位恪守白帽子精神、保护人民群众安全 利益、帮助京东提升安全质量的报告者，我们将给予以感谢和回馈。 3) 京东反对和谴责一切以安全检测为由，利用安全漏洞进行破坏、损害用户利益的黑客 行为。包括但不限于利用漏洞盗取用户数据及财产、入侵业务系统、恶意传播等行为。 4) 京东认为，每个安全问题的处理及整个安全行业的进步，都离不开各方人士的共同推 动与合作，希望企业、安全公司、安全组织和研究者一起加入到“合作式的安全报告披露 与处理”中来，为建设良好的互联网安全生态而努力。 威胁反馈与处理流程 【预报告阶段】 报告者访问JSRC 平台并登录或注册账号。 【报告阶段】 报告者登录京东漏洞反馈平台，提交威胁信息（状态：未处理） 【处理阶段】 1） 一个工作日内JSRC 工作人员确认报告并跟进评估（状态：漏洞验证/忽略） 2 ）三个工作