查看原文
其他

OSRC 2周年第二弹——第五次奖励升级

奖励升级的 OPPO安全应急响应中心 2022-10-05


OSRC经过两年的发展,影响力逐步提升,也越来越受到安全圈以及安全研究者的认可,值此两周年之际,OSRC对现有评分标准进行了全新升级,同时,进行了第五次的奖金升级,下面就带大家一起看看新的规则有什么不一样吧。





01

评分规则分类更细化、更合理

基于OPPO业务的发展,我们在漏洞分类上拆分出了六大评分标准,大家在提交漏洞的时候可以很清晰的找到漏洞的归属规则,这六大标准包括:

  • 《互联网应用安全漏洞评分标准》

  • 《终端安全漏洞评分标准》

  • 《IoT安全漏洞评分标准》

  • 《隐私漏洞评分标准》

  • 《App恶意行为评分标准》

  • 《安全情报评分标准》

在这次改版中,我们首次将开发者App恶意行为、隐私漏洞纳入到接收范围,这也表明我们对用户负责任的态度,对于危害到用户隐私安全的行为,OPPO安全零容忍


02

奖金再度升级,额外奖励翻倍

OSRC自2018年8月成立以来,本次是第五次奖金升级,单个漏洞最高奖励达到5万,额外奖励最高可达10万元,这一切都是为了感谢你的付出。


03

关注App恶意行为/ 自有App隐私漏洞

OPPO认为用户隐私与产品品质同样重要,我们将用户隐私保护视为产品的安全基线。

在今年7月份,OPPO安全联合软件商店,在开发者App上架审核规范中,首次增加了对恶意行为和隐私安全的检测和审核。

App恶意行为涉及到整个软件商店上架的App,量级达到几十万款,对OPPO安全来说既是挑战,也是必须达成的目标。我们将通过整合内部及外部的力量,共同维护App市场的安全生态,更好的服务于OPPO用户。

隐私漏洞是本次关注的重点方向之一,此次将先圈定OPPO自有业务范围。未来在适当的时候,我们也可能将范围扩大到整个软件商店的App,敬请期待。


04

互联网应用安全标准升级

本次是基于《OPPO外部威胁和情报处理流程 V1.5》升级而来,并将收取范围明确为Web应用安全漏洞和移动应用安全漏洞,在Web应用安全规则中,对部分内容进行了调整,使用评分过程中歧义更少;移动应用安全规则改动较大,参考国内业界优秀实践和国外领先的漏洞奖励计划,删除了部分不合理、不适用的评审标准,重新定义了高危、严重漏洞评分标准。

05

明确终端/IoT安全漏洞范围

作为一家软硬服一体化的科技公司,终端、IoT的重要性不言而喻,本次终端、IoT安全评分标准中,我们将终端和IoT安全漏洞分别单独成一类,同时明确终端、IoT的评分范围,对各个级别的漏洞进行了明确举例,同时,单个漏洞的最高奖励也是在终端、IoT安全漏洞中。

如涉及到Web及App安全漏洞,评分标准见《互联网应用安全漏洞评分标准》。


06

安全情报类型梳理

安全情报是提高公司安全水平的重要依据,在这次评分标准升级中,安全情报包含漏洞线索、攻击线索和攻击者线索这三大部分,基本覆盖常见的安全情报类型。根据他们的危害性和情报的效用性,增加了从严重到低危4条攻击者线索项目。



最后,我们汇总下本次升级后,OSRC不同类别的奖励金额如下,另外,对于影响特别大的漏洞,我们还可以提供最高达10万元额外奖励



康康清晰的表格


生效时间:2020年8月15日00:00
以上就是本次的奖励规则解读,有疑问的可以点击阅读全文到官网查看详情~~



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存