JJSRC漏洞/情报处理流程与基本原则

发布时间：2016-07-12 19:33:16

一．处理流程

1.注册登录并完善资料

注册成为JJ比赛用户即可提交漏洞，使用JJ账号登录并完善个人资料，即有兑奖资格

2.报告漏洞

用户在线填写漏洞/情报详细信息，并提交（状态：确认中）

3. 漏洞审核与处理

JJSRC收到的漏洞报告后，会根据报告的实际情况管理员更改漏洞状态（状态：待补充/已驳回/修复中）

4. 漏洞修复

JJSRC联手相关业务部门对漏洞报告中的安全问题进行修复（状态：已修复）。修复时间视实际情况而定。必要时会与报告者沟通确认，请报告者给予协助

5. 致谢

在每个月第一周，发布上月漏洞/威胁情报处理公告，致谢漏洞报告者

二．基本原则

1.我们重视安全问题，承诺每一个问题反馈都会得到应有的反馈

2.规则评分奖励制度只针对通过竞技世界安全应急响应中心在线提交漏洞（或邮箱）反馈的非竞技世界员工

3.由同一个漏洞源产生的多个漏洞计漏洞数量为一个

4.某一全局功能、同一文件或模板、泛域名解析等引起的多个问题计漏洞数量为一个

5.同一个报告里提交多个漏洞，只按级别最高的漏洞计分

6.漏洞相同则只给最早提交的用户计分

7.已经公开的漏洞将不计分

8.漏洞提交报告应尽量详细、规范。提供详细的漏洞详情、漏洞原理、利用方式以及修复建议的可以酌情加分

9.奖励发放的基本原则：

奖励以安全币的形式发放到用户的账户上，目前安全币可用于兑换JJ秋卡（即秋季回馈卡，是JJ比赛平台回馈给JJ比赛用户的一种免费获得的累积型兑换券；秋卡可以通过合成炉中，可以合成金币、游戏点卡、手机充值卡、电子产品、以及JJ平台的纪念品等各种实物）和现金形式，安全币数量由用户所提交的漏洞/威胁情报的评分乘以相应系数而得，多个漏洞/威胁情报产生的安全币可累加，除非特别声明，未使用的安全币不会过期，在用户提交兑换申请后，JJSRC人员会对申请进行审核，审核通过后会通过邮件的形式与提交者沟通并尽快发放到提供的指定账户中。对于利用秋卡到JJ主站直接兑换奖品的用户，兑奖流程将遵循JJ主站的兑奖流程，出现任何问题可咨询JJ客服，JJSRC可以协助但不承担主要责任。如因安全问题提交者未能及时完善资料导致的延误，将顺延发奖时间

10.我们尊重白帽子精神，保护用户利益，对于帮助提升产品安全质量的白帽子我们将给予感谢和回馈

11.我们反对和谴责一切以损害用户利益，利用安全漏洞谋取不法利益的行为，更不能利用安全漏洞来恐吓用户，为竞争对手牟利

12.我们希望各大企业、安全公司、安全组织一起加入我们，为一起建设安全健康的互联网环境而努力

13.任何以漏洞测试为借口,利用漏洞进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的，将不会计分，同时竞技世界将保留采取进一步法律行动的权利

 14.对于提交的漏洞信息，非经我方同意，白帽子不得擅自公开传播、发行，且不得将漏洞信息转让给其他第三方机构。