当前位置:WooYun(白帽子技术社区) >> 乌云电视台 >> 乌云通用性安全问题流程改进方案(初定)
为解决乌云平台中的几个问题以及确保乌云能够坚持对厂商,社区和用户负责的负责任漏洞披露流程,并且在这个原则上走得更远,乌云将在不改变现有原则的前提下对通用型安全问题做出流程改进:
1 乌云不修改现有流程但是针对通用型安全问题将调整全部对公众公开的时间(初定为三个月),针对白帽子以及负责厂商公开的流程不会改变(10天向核心和安全公司开放,20天向普通白帽子开放,40天向实习白帽子开放,90天完全公开);
2 乌云引入漏洞预警以及修复机制,在公开前会召集白帽子力量和安全公司力量协助修复安全问题,如修复方案的协助发布,未修复系统的紧急通知;安全公司需要完全遵守乌云规则并尊重提交者版权;
3 对于能够提供重要价值的安全漏洞乌云在将来会努力与CERT,第三方安全公司等合作方一起对提交者给出现金奖励(通用软件列表和具体奖励额度还在探讨当中)
通用型安全漏洞定义:
1 重要客户端软件譬如360浏览器,QQ客户端,IE浏览器等
2 重要网站建站软件如Discuz!,Phpwind,phpcms等
3 重要设备以及供应商系统如:OA系统,Mail系统,防火墙及Vpn系统
4 重要开源组件如Mysql,Apache,Php等
第三方安全公司定义:
1 有能力修复和处理第三方安全问题的厂商如防火墙,扫描器厂商,安全服务提供商
2 安全公司需要经过CERT的资质审核和认证
:)
添加新回复
登录 后才能参与评论.