携程外部漏洞报告处理流程-携程安全应急响应中心.pdfVIP

携程外部漏洞报告处理流程 v 1.0 携程旅行网文档 携程外部漏洞报告处理流程 V1.0 携程旅行网（） - 1 - 携程外部漏洞报告处理流程 v 1.0 2014 年 2 月 文件修订 版本号 编写人 编写日期 更改内容 v 0.1 CSRC 2014-02 撰写 v 1.0 CSRC 2014-02 修订 携程旅行网（） - 2 - 携程外部漏洞报告处理流程 v 1.0 目 录 1 背景4 1.1 介绍 4 1.2 范围 4 携程旅行网（） - 3 - 携程外部漏洞报告处理流程 v 1.0 2 基本原则4 3 漏洞反馈与处理流程 5 4 安全漏洞评分标准6 5 奖励发放原则8 6 争议解决办法9 1 背景 1.1 介绍 携程安全应急响应中心（Ctrip　Security Response Center，以下简称为 CSRC， ）隶属于携程安全中心，是外部用户向携程反馈各业务相关产品安 全漏洞的平台，也是携程加强与安全业界同仁的合作交流渠道之一。 1.2 范围 本流程适用于 CSRC 所收到的安全相关的漏洞。 携程旅行网（） - 4 - 携程外部漏洞报告处理流程 v 1.0 2 基本原则  携程非常重视自身产品和业务的安全问题，我们承诺，对每一位报告者反馈的问题 都有专人进行跟进、分析和处理，并及时给予答复。  携程支持负责任的漏洞披露和处理过程，我们承诺，对于每位恪守白帽子精神，保 护用户利益，帮助携程提升安全质量的用户，我们将给予感谢和回馈。  携程反对和谴责一切以漏洞测试为借口，利用安全漏洞进行破坏、损害用户利益的 黑客行为，包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取 用户数据、恶意传播漏洞等。  携程反对和谴责一切利用安全漏洞恐吓用户、攻击竞争对手的行为。  携程认为每个安全漏洞的处理和整个安全行业的进步，都离不开各方的共同合作。 希望企业、安全公司、安全组织、安全研究者一起加入到“负责任的漏洞披露”过 程中来，一起为建设安全健康的互联网而努力。 3 漏洞反馈与处理流程  预报告阶段 漏洞报告者在携程安全应急响应中心（）注册帐号。  报告阶段 漏洞报告者登陆携程安全应急响应中心，提交反馈漏洞（状态：待审核 ）。  处理阶段 1) 一个工作日内，携程安全应急响应中心工作人员会确认收到漏洞报告并跟进开始 携程旅行网（）