经过了多轮的意见征集和共创,全新的《TSRC漏洞处理和评分标准》正式和大家见面啦!
新标准(V3.2)联合了腾讯各业务团队和白帽师傅们,从资产划分、评级标准、报告奖励等方面进行了全方位升级,以期减小评分争议,提升风险处置效率。
同时,为感谢师傅们长年以来的倾情付出,新标准也提升了基础奖励,予以师傅们更丰厚的回馈,从而提升师傅们的体验。即日起,新版评分标准将进行为期一周的公示,欢迎反馈您的建议。
新标准主要有以下三方面重要更新,
师傅们请查收 ⬇️
01
核心产品范围更新
根据业务发展的最新需求,TSRC联动腾讯业务团队全新梳理了产品范围,更新如下(完整产品范围列表请查阅官网全文)。
⭕️ 新增核心产品
微信登录/票据
企业微信基础核心功能(企业微信即时通信功能、企业支付、会话内容存档、微盘、微文档、融合会议、企微朋友圈)
企业微信敏感信息(如:企业通讯录列表,登录/票据)
微信支付自研刷脸设备
微信支付自研刷掌设备
微信支付商户平台(包括境内和境外)
微信信用卡还款
腾讯手机充值
腾讯自选股
心悦俱乐部
成长守护平台
腾讯文档(不包含第三方提供插件)
腾讯云(计算/容器与中间件/存储/网络与CDN/安全)(参考腾讯云产品总览-腾讯云中对应的产品https://cloud.tencent.com/product)
电脑管家/手机管家
⭕️ 重点产品
包含绝大部分的腾讯旗下产品和业务,例如腾讯游戏助手、腾讯乘车码小程序、QQ 音乐等产品,包括但不限于移动应用、客户端、小程序、Web 站点、硬件、IOT、服务 器服务等产品模式。
👇 注意,以下业务更新为重点产品
微信搜一搜、微信看一看、微信扫一扫、微信网页版、英雄联盟端游、QQ空间主域(*.qzone.qq.com) 、腾讯云基础平台、账号及支付体系
其他产品
腾讯公司旗下其他业务所产生的移动应用、客户端、小程序、Web 站点、硬件等相关产品;一般表现为平台用户少于千人,平台数据实时性低于 1 天,客户端产品较长时间未更新等;也包含非腾讯进行开发、运维和运营的应用、小程序后端 API 站点、服务器等。
02
优化评分标准,定级更清晰
针对历史争议较多的漏洞,我们新增或细化了评分标准,减少因标准模糊或意见不一致问题导致的争议。
目前评级原则已调整为根据技术维度和业务维度综合评估,技术维度主要包括用户交互、攻击媒介、前置条件三个方面。
业务维度主要包括功能重要程度、影响数量、平台活跃度等。
根据漏洞危害程度分为严重、高、中、低、无五个等级,每个等级评分都将按照上表进行技术维度和业务维度的综合评判,欢迎进一步查阅官网关于评分的详情说明。
03
聚焦核心重点业务,奖励升级
在原有贡献值体系的奖励基础上,提升了核心业务漏洞奖励,以及重点业务的高危及严重漏洞奖励。
对于为腾讯核心业务或重点业务提供高质量严重漏洞报告,或满足腾讯业务团队设置的悬赏规则的师傅,还将获得「月度激励」或「业务额外奖励」。
新标准将于5月4日上线
期待继续一起,hack for good
即日起,全新的《TSRC漏洞处理和评分标准》将进行为期一周的公示,公示期间,如您有任何建议或疑问,欢迎通过官方邮箱[email protected]或运营同学反馈,新版评分标准将于5月4日10:00正式生效。
未来,TSRC也将持续根据业务发展和用户的需求不断迭代,期待继续与您一起,共同守护好腾讯业务和用户的安全,一起守护美好。
特别鸣谢:感谢Dragon、guimaizi、沦沦、pytho1n、天道筑基、tzrj、upme4、月神等白帽师傅们为新标准提供的宝贵建议!
点击「阅读原文」
查看《TSRC漏洞处理和评分标准》V3.2全文
👇👇👇