乌云通用性安全问题流程改进方案（初定） -- WooYun(白帽子技术社区) -- 网络安全资讯、讨论，跨站师，渗透师，结界师聚集之地又一个有意思的地方

当前位置：WooYun(白帽子技术社区) >> 乌云电视台 >> 乌云通用性安全问题流程改进方案（初定）

乌云通用性安全问题流程改进方案（初定）

踩(0)

顶(3)

xsser

(十根阳具有长短!!)

| 2013-04-22 16:46

为解决乌云平台中的几个问题以及确保乌云能够坚持对厂商，社区和用户负责的负责任漏洞披露流程，并且在这个原则上走得更远，乌云将在不改变现有原则的前提下对通用型安全问题做出流程改进：

1 乌云不修改现有流程但是针对通用型安全问题将调整全部对公众公开的时间（初定为三个月），针对白帽子以及负责厂商公开的流程不会改变(10天向核心和安全公司开放，20天向普通白帽子开放，40天向实习白帽子开放，90天完全公开)；
2 乌云引入漏洞预警以及修复机制，在公开前会召集白帽子力量和安全公司力量协助修复安全问题，如修复方案的协助发布，未修复系统的紧急通知；安全公司需要完全遵守乌云规则并尊重提交者版权；
3 对于能够提供重要价值的安全漏洞乌云在将来会努力与CERT，第三方安全公司等合作方一起对提交者给出现金奖励（通用软件列表和具体奖励额度还在探讨当中）

通用型安全漏洞定义：

1 重要客户端软件譬如360浏览器，QQ客户端，IE浏览器等
2 重要网站建站软件如Discuz!，Phpwind，phpcms等
3 重要设备以及供应商系统如：OA系统，Mail系统，防火墙及Vpn系统
4 重要开源组件如Mysql，Apache，Php等

第三方安全公司定义：

1 有能力修复和处理第三方安全问题的厂商如防火墙，扫描器厂商，安全服务提供商
2 安全公司需要经过CERT的资质审核和认证

：）

分享到：

33 个回复

1#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Z-0ne (一个很懒的人) | 2013-04-22 16:49

前排
2#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Blackeagle (向WooYun致敬) | 2013-04-22 16:49

广告位招商~
3# 感谢(2)
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

gainover (">_< ' / & \ 看啥，没见过跨站字符么) | 2013-04-22 16:50

嘿嘿，乌云一小步，人类一大步啊～
4#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

路人甲 | 2013-04-22 16:51

前排首页广告位出租
5#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

VIP (Fatal error: Call to undefined function getwb() in /data1/www/htdocs/106/wzone/1/index.php on line 10|@齐迹@小胖子@z7y@nauscript|昨晚做梦梦见了一个ecshop注射0day，醒来后忘记在哪了。|预留广告位) | 2013-04-22 16:52

前排豪华大屏广告位出租
6#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

se55i0n (那些年，我们一起看的岛国动作片~) | 2013-04-22 16:53

乌云会走的更远的！
7#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

陌路 | 2013-04-22 16:56

支持.积极努力成为核心成员
8#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Jannock (what?) | 2013-04-22 17:00

顶
9#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

shine (shield) | 2013-04-22 17:03

将来，它注定永垂不朽！
10#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

小胖子 (z7y首席代言人，园长的表哥...) | 2013-04-22 17:29

支持~乌云慢慢强大中！
11#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

jdnehc (淫荡的白菜) | 2013-04-22 18:43

路人甲
12#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

p.z (谈钞票伤感情谈感情又伤钞票又伤感情) | 2013-04-22 19:11

你们看到现金两字了吗
13#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

ppt (小伙子，你0day掉了) | 2013-04-22 19:16

支持
14#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

xsser (十根阳具有长短!!) | 2013-04-22 19:18

@p.z 在哪里
15#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Lmy (话说名字太长容易被人关注) | 2013-04-22 19:43

@xsser
硬件/基础设施/逻辑门的设计缺陷[例如：ip4的CPU]
固有安全缺陷/固有安全问题（反正在不改变架构的情况下是难以修复的）
这些乌云是什么处理的

说说而已
16#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

px1624 (aaaaaaaaa) | 2013-04-22 20:23

嗯，普通白帽子的权限貌似变大了额。20天就可以看了，哈哈~
17#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

dtc (路过)‮(油酱) | 2013-04-22 20:27

前排支持~
18#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

四先生 | 2013-04-22 21:33

前排支持~
19#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

lucky (一天一洞) | 2013-04-23 08:49

支持！
20#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

点点 (http://t.qq.com/ox_diandi) | 2013-04-23 08:54

支持乌云
21#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

裙下的秘密 | 2013-04-23 10:03

支持乌云咩
22#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

陈再胜 (http://t.qq.com/mibboy求收听) | 2013-04-23 14:06

我看到现金两字了
23#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

廷廷 (想法最重要) | 2013-04-23 14:18

而且要严格要求厂商真诚对待帽子的成果
24#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

xsser (十根阳具有长短!!) | 2013-04-23 14:42

@廷廷通用性软件必须在相应的补丁，策略，公告里给出信息来源以及发现者的名字
25#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

廷廷 (想法最重要) | 2013-04-23 17:36

@xsser 那感情好，鼓励人
26#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Metasploit (www.metasploit.cn) | 2013-04-23 18:45

不错机制越来越健全就是要不断的成长
27#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

二哥三摆手 | 2013-04-23 19:46

后排。。。
28#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

xiya (行者不言) | 2013-04-23 21:04

这个不错，支持一下。
29#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

w5r2 | 2013-04-23 22:38

yes
30#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Sct7p (.)V(.) (.)_(.) (.)*(.) (.)^(.) (|)（and 1=2）(|) (.)^(.) (.)*(.) (.)_(.) (.)V(.) | 2013-04-24 15:08

支持～
31#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

0x0F (..........................................................................................................................................................................................................................................................) | 2013-04-24 17:14

我爱乌云。。
32#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

possible (everything is possible) | 2013-04-24 17:15

路人甲要nb了
33#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

墨水心_Len | 2013-04-26 11:33

看到现金奖励四个字了

乌云通用性安全问题流程改进方案（初定）

添加新回复

WooYun(白帽子技术社区)

其它内容