評級原則__漏洞說明_先知計劃-阿裏雲

1、該標準僅適用於入駐先知平台的企業，並且隻針對企業已明確說明接收漏洞的產品及業務。企業已明確說明不接收的漏洞將做駁回處理。企業已明確說明的漏洞等級調整將以企業為準。企業邊緣業務將根據其重要程度適當調低漏洞等級。

2、各等級漏洞的最終貢獻值數量由漏洞利用難度及影響範圍等綜合因素決定，若漏洞觸發條件非常苛刻，包括但不限於特定瀏覽器才可觸發的XSS漏洞，則可跨等級調整貢獻值數量。

3、同一個漏洞源產生的多個漏洞計漏洞數量為一。例如同一個接口引起的多個安全漏洞、同一個發布係統引起的多個頁麵的安全漏洞、框架導致的整站的安全漏洞、泛域名解析產生的多個安全漏洞等。

4、第三方產品的漏洞隻給第一個提交者計貢獻值，等級不高於【中】，包括但不限於企業所使用的WordPress、Flash插件以及Apache等服務端相關組件、OpenSSL、第三方SDK等；不同版本的同一處漏洞視為相同漏洞。

5、同一漏洞，首位報告者計貢獻值，其他報告者均不計。

6、在漏洞未修複之前，被公開的漏洞不計分。

7、報告網上已公開的漏洞不計貢獻值。

8、同一份報告中提交多個漏洞，隻按危害級別最高的漏洞計貢獻值。

9、以測試漏洞為借口，利用漏洞進行損害用戶利益、影響業務運作、盜取用戶數據等行為的，將不會計貢獻值，同時先知平台將聯合入駐企業保留采取進一步法律行動的權利。

爭議解決辦法

在漏洞報告處理過程中，如果報告者對流程處理、漏洞定級、漏洞評分等有異議的，可以通過漏洞詳情頁麵的留言板或者通過即時通訊聯係在線工作人員及時溝通。先知平台將按照漏洞報告者利益優先的原則與企業三方協調處理，必要時可引入外部安全人士共同裁定。

最後更新：2016-11-24 11:23:47