本文介紹漏洞收集及處理流程。
操作步驟
企業用戶登錄自己的阿里云賬號并完善企業資料,發布任務。
白帽子用戶提交漏洞的流程:
漏洞提交后,先知平臺運營人員會對所收到的漏洞報告進行內部評估。
漏洞不存在或者漏洞重復上報,運營人員將駁回該漏洞,標識為已駁回狀態,并告知駁回理由。
漏洞描述不清,運營人員將返回該漏洞,并標識為待補充狀態。建議白帽子在72小時內補充漏洞信息,以便運營人員進行評估。
漏洞經過驗證確認存在,運營人員將在先知平臺上確認該漏洞,并標識為已審核狀態。
先知平臺運營人員將在漏洞確認存在后24小時內,確認漏洞等級和獎金。
通用軟件漏洞將按照《漏洞驗收標準》中的漏洞獎勵標準確定獎勵金額。具體內容,請參見通用軟件漏洞收集及獎勵計劃。
第三方企業確認收錄漏洞后,將根據漏洞等級和數量發放獎勵金額。具體內容,請參見不同等級漏洞的定價。
重要僅當企業確認漏洞收錄后,才會將賞金發給白帽子用戶。對于已審核通過的漏洞,如果企業未執行收錄確認的操作,則在15天后會自動被收錄。
白帽子在先知控制臺的漏洞管理頁面中找到已確認價格的漏洞,對漏洞等級和獎金(控制臺展示均為稅前金額)進行確認,漏洞狀態被標識為獎金發放中狀態。
若白帽子接受獎勵金額,則進行確認操作,漏洞被標識為獎金發放中狀態。
若白帽子不接受獎勵金額,可進行人工申述。先知平臺運營人員將盡快與白帽子聯系,共同協商獎勵金額。
先知平臺運營人員將在白帽子確認漏洞等級和獎金后3個月內,發放獎勵金額。
獎金會直接發放到白帽子入駐時填寫的支付寶賬號中,白帽子可登錄支付寶賬號查看獎金情況。
企業將在漏洞被確認后根據漏洞的修復情況更新漏洞的狀態,漏洞修復完成后該漏洞將標識為已修復。具體內容,請參見查看和處理漏洞。
說明漏洞處理完成后,企業可關閉按量付費服務。如果企業已發布任務中包含未收錄的漏洞,則不能關閉按量付費服務。