当前位置:WooYun(白帽子技术社区) >> 乌云电视台 >> 乌云审核机制和白帽子评判规则揭秘
实际上很多的人都不清楚乌云的审核机制和白帽子的评判规则,五一之前调整了下规则然后俺又去了山里,通讯不方便,这里我就跟大家说下子答下疑。
首先乌云是一个开放和公开的漏洞报告平台,漏洞本身很敏感,所以我们绝对保证所有过程的公开和透明,也就是说漏洞的处理流程是在漏洞页面可以看到的,这也是乌云存在的根本,我们非常希望这个良好的氛围和过程能够持续下去,为了确保给厂商和白帽子们都带来价值,所以乌云也有自己的审核标准,否则价值低的内容出现会导致平台质量的下滑,我们确保不出现虚假和恶意的内容(有态度不娱乐就是这个意思)
实际上审查内容是很困难的,我们精力也不够,不过我们相信所有人都是很珍重信誉和荣耀的,所以我们重点会审核人而不是漏洞本身,对于核心和普通的白帽子我们会将漏洞最终的评判权限交给厂商,审核会非常快的通过,而对于实习的白帽子就会仔细的审核,在乌云积累一定的信誉机制之后白帽子就可以获得较高的权限,这些权限会包括各种活动的优先权,众测的优先权以后后续的种种,我们甚至还希望通过漏洞将白帽子与专业对应起来。
对于核心白帽和普通白帽的评选,乌云是通过积累的信誉和rank计算的,如果rank较高(目前是前100的)然后又有很多有价值的内容,甚至是某领域的权威(这个可以通过发表某些领域安全漏洞来实现,譬如有个博士就经常发非常非常非常经典的xss),一定就是核心了,而普通白帽子我们认为是要达到一定的级别,之前是达到白帽子的平均分就可以,后来我们发现懒汉和混账号的太多了,所以我们就将这个标准调整到必须rank大于一定的数字(目前也是100)了
这些规则本身并不是特别完善,尽管借鉴了很多的成人站点的审核机制但是肯定存在很多的问题,包括对漏洞的判断上也会有很多的分歧,但是我们一直坚持和相信安全一定不要脱离数据,脱离实际环境的技术探讨只能是两个geek之间的娱乐,但还是非常感谢大家的支持,我们相信将来规则会越来越好,每个人都能从乌云得到自己希望得到的东西!