公告详情

<<返回

【SSRC-2013-111】漏洞提交与处理流程

公告编号:SSRC-2013-111

公告来源:新浪网安全应急响应中心

公告时间:2013-11-01

公告内容:

[ 登录并完善资料 ]

漏洞报告者通过浏览器访问http://sec.sina.com.cn/或者http://sec.weibo.com/,使用新浪通行证帐号登录新浪网安全应急响应中心(以下简称SSRC),并在平台完善个人资料(第一次登录需完善个人资料才能够进行漏洞提交,为了奖励能够准确的发放到您的手中请确保资料真实有效)

[ 漏洞报告阶段]

漏洞报告者登录到新浪网安全应急响应中心,通过“提交漏洞”功能进行漏洞的报告(状态:提交漏洞)。为了便于工作人员进行漏洞确认,请尽量对漏洞细节进行详细描述,且在漏洞未修复之前请不要公开和传播漏洞细节。

[ 漏洞处理阶段 ]

1) 漏洞提交后一个工作日内,SSRC工作人员会确认收到漏洞报告并开始对漏洞进行评估确认(状态:审核中);

2) 漏洞确认审核后的三个工作日内,SSRC工作人员会对漏洞进行确认处理,并且给出处理结果和计分(状态:已确认或者已忽略),必要时会与报告者进行沟通确认。

[ 漏洞修复阶段 ]

1) 业务部门修复漏洞并安排更新上线(状态:已修复)。漏洞修复时长会根据漏洞的严重程度以及修复难度等综合而定。严重漏洞一个自然日内修复,高危漏洞三个工作日内修复,中危漏洞七个工作日内修复,低危漏洞十五个工作日内修复。客户端漏洞受版本发布限制,修复时长根据实际情况确定;

2) 状态为已修复的漏洞,漏洞报告者可进行漏洞修复确认。如果报告者确认漏洞未修复,请给出原因,一旦SSRC工作人员确认漏洞未修复,漏洞会作为新漏洞重新进入到漏洞处理流程。

[ 奖励阶段 ]

SSRC每月月初会对上月漏洞报告者进行奖励,详细的漏洞奖励计划请参见《新浪网安全应急响应中心漏洞奖励计划一期

[ 其他说明]

1) 新浪支持负责任的漏洞披露和处理过程

2) 新浪反对一切和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为

3) 恶意的漏洞报告者将作封号处理

新浪网员工不得参与或通过朋友参与漏洞

新浪简介About Sina加入我们合作伙伴产品答疑
Copyright © 1998 - 2021 SINA. All Rights Reserved 新浪安全应急响应中心
新浪公司 版权所有