【YSRC-2014-1118】YY外部漏洞报告处理流程

公告编号：YSRC14-11

公告来源：YSRC

发布日期：2014-11-18

公告内容：

安全应急响应中心（以下简称YSRC）反馈YY集团各事业部旗下相关产品及业务的安全漏洞，以帮助我们提升自身产品及业务的安全性，同时也希望借此平台加强与安全业界同仁的合作与交流。白帽安全人士，安全公司，安全组织可以通过安全应急响应中心，邮箱提交漏洞，提交完成后获取积分，积分可用于奖品兑换。公司全体员工和白帽安全人士，安全公司，安全组织一起共同为打造健康安全的互联网产业生态圈贡献力量。

为了进一步加深与业界的合作交流，更加及时迅速的保护用户安全，同时也表达我们的感谢，YSRC特推出在线漏洞反馈平台，漏洞奖励规则和评分标准。内容如下：

漏洞反馈流程：

1、登陆。用户登陆YY安全响应中心在线漏洞提交系统，并且完善资料（请确保资料正确）；

2、提交。用户提交漏洞信息。（状态：提交漏洞），请务必详尽，并在漏洞修复之前不要公开和传播漏洞细节；

3、跟进。漏洞提交后YSRC工作人员跟进问题（状态：审核中）；

4、核实。漏洞得到核实后，YSRC工作人员会对漏洞进行确认处理，并给出评分（状态：已确认或者已忽略），必要时会联系用户了解情况；

5、致谢。YSRC将根据积分情况给予漏洞报告者以奖励（详见奖励规则）；

评分规则：

1、  网上已公开的漏洞不计分；

2、  每个漏洞总分10分，由YSRC根据漏洞严重程度评分；

3、 对于相同的漏洞报告，我们将按时间给予首个报告者积分，其他报告者不得分；

4、 在漏洞修复之前，被公开的漏洞不计分；

5、 提交与YY安全漏洞无关的问题不计分；

6、 以漏洞测试为借口，利用漏洞进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的，将不会计分，同时YY保留采取进一步法律行动的权利

奖励规则：

1、奖励只针对通过YY安全响应中心在线漏洞提交系统反馈的用户；

2、用户可以根据积分兑换相应的礼品；

3、普通奖励以一个月为统计周期。不定期会有特殊奖励；

目前，该系统刚上线，我们可能还存在着很多需要改进和完善的地方。如果您有更好的意见和想法，可以通过邮件与我们交流。

安全漏洞评分标准

详细请看《评分标准》