阿里巴巴本地生活安全响应中心.PDFVIP

阿里巴巴本地生活安全响应中心 平台评分和奖励标准 编写人 阿里巴巴本地生活安全响应中心 版本号 1.0 更新日期 2019-07-09 平台介绍 阿里巴巴本地生活安全响应中心（https://security.ele.me/）是用于交饿了 么和口碑（即阿里巴巴本地生活）相关漏洞及威胁情报，保障阿里巴巴本地生活 用户 （以下简称“用户”）信息安全，加强与业界同仁合作、交流的平台。 如果您对本流程有任何建议，欢迎通过邮箱（security@ele.me ）或者官方微 信、微博私信 （@本地生活安全响应中心）的方式向我们反馈。 适用范围 本 规 范 适 用 于 处 理 阿 里 巴 巴 本 地 生 活 安 全 响 应 中 心 平 台 （https://security.ele.me）及阿里安全响应中心平台（/#/） 所收到饿了么和口碑相关的安全漏洞及安全情报。 实施日期 本规范自 2019 年 7 月 9 日起正式实施。 一、 基本原则 （1） 阿里巴巴本地生活非常重视自身产品和业务的安全问题，我们承诺， 每一位报告者反馈的问题都会有专人进行跟进、分析和处理，并及时 给予答复或公告。 （2 ） 我们支持合作式的漏洞披露和处理过程，并承诺对于每位恪守“白帽 子精神”，保护用户利益，帮助阿里巴巴本地生活升安全质量的白 帽子，我们会给予感谢和回馈。 （3 ） 我们严禁一切以漏洞测试为借口，利用安全漏洞进行破坏、损害用户 利益的黑客行为，包括但不限于利用漏洞入侵业务系统、窃取用户数 据、恶意传播漏洞、暗藏木马后门及不完整上报等。 （4 ） 我们认为每个安全漏洞的处理和整个安全行业的进步，都离不开业界 各方的共同合作。希望企业、安全公司、安全组织和安全研究者一起 加入到“合作式的漏洞披露”过程中来，一起为建设安全健康的互联 网环境而努力。 二、 漏洞 情报反馈与处理流程 / （1） 预报告阶段：漏洞报告者前往阿里巴巴本地生活安全响应中心平台 （https://security.ele.me ） 或 阿 里 安 全 响 应 中 心 平 台 （/#/） （以下统称“指定平台”）建立帐号。 （2 ） 报告阶段：报告者登录指定平台，交相关信息（状态：未审核）。 （3 ） 处理阶段：一个工作日内，工作人员会确认收到的报告并跟进开始评 估问题（状态：审核中），三个工作日内工作人员处理问题、给出结 论并计分 （状态：已确认/ 已忽略）。必要时与报告者沟通确认，请报 告者予以协助。 （4 ） 修复阶段：针对安全漏洞，业务部门修复漏洞并安排更新上线，修复 时间根据问题点严重程度及修复难度而定，一般来说，严重漏洞 24 小时内，高危三个工作日内，中风险七个工作日内。客户端漏洞受版 本发布限制，修复时间根据实际情况确定。针对情报，由于情报分析 调查的时间较长，因此确认周期相比漏洞的时长较长，具体时间需根 据实际情况确定。 （5 ） 完成阶段：完成处理后，更新处理状态，报告者可见更新状态。报告 者可通过积分在阿里巴巴本地生活安全响应中心平台兑换礼品。 三、 安全漏洞评分标准 漏洞危害 高危 严重 中危 低危 等级