腾讯外部威胁情报处理流程
编写人腾讯安全应急响应中心
版本号 2.1
最后更新日期2015-10-15
致谢
感谢7DScan、alert7、cnhawk、hj@topsec、instruder、MythHack、papaya、PiaCa、So what、SuperHei、、xsjswt、买不起的牌子、钱途、扫地僧、DragonEgg、ice yes、TK、nforest、PP(排名不分先后)为本流程所作出的贡献
浏览器自动弹出网页如果您对本流程有任何的建议,欢迎通过邮箱(security@tencent)或者微博私信(http: //weibo/tsrcteam)的方式向我们反馈。
适用范围
本流程适用于腾讯威胁情报反馈平台(t/index.php/report)所收到的所有情报。
实施日期
本文档自发布之日起实行
王宝强再谈离婚修订记录
V1.0 2012-10-30 发布第一版
V1.1 2012-12-05 更新评分标准的通用型漏洞定义;更新奖励发放原则;更新FAQ
V1.2 2013- 1-16 更新评分标准;更新奖品发放流程;更新FAQ
V1.3 2013- 3-22 更新奖品发放流程;更新评分标准
V1.4 2013- 8-12 更新争议解决办法流程;更新Discuz!产品的评分标准
V1.5 2013- 9-01 更新客户端产品奖励标准;更新评分标准
V1.6 2014- 2-12 更新评分标准;更新奖励发放原则
V1.7 2014- 5-05 更新客户端产品奖励标准;更新评分标准
V1.8 2014- 6-04 更新奖励评分标准;更新评分标准通用原则;更新FAQ
V1.9 2014-11-10 更新奖励评分标准;更新评分标准通用原则
克罗地亚和日本谁会赢V2.0 2015-04-16 更新奖励评分标准;更新评分标准通用原则;更新FAQ
V2.1 2015-10-15 更新奖励评分范围及标准;更新评分标准通用原则;更新FAQ
目录
基本原则 (4)
威胁情报反馈与处理流程 (5)
刘德华谈喻可欣威胁情报评分标准 (6)
业务漏洞评分标准 (6)
通用软件漏洞评分标准 (9)
安全情报评分标准 (9)
评分标准通用原则 (10)
奖励发放原则 (12)
争议解决办法 (13)
FAQ (14)
无证驾驶怎么处罚基本原则
1)腾讯非常重视自身产品和业务的安全问题,我们承诺,对每一位报告者反馈的问题都有专人进行跟进、分析和处理,并及时给予答复。
2)腾讯支持负责任的漏洞披露和处理过程,我们承诺,对于每位恪守白帽子精神,保护用户利益,帮助腾讯提升安全质量的用户,我们将给予感谢和回馈
3)腾讯反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、恶意传播漏洞等
4)腾讯反对和谴责一切利用安全漏洞恐吓用户、攻击竞争对手的行为
5)腾讯认为每个安全漏洞的处理和整个安全行业的进步,都离不开各方的共同合作。希望企业、安全公司、安全组织、安全研究者一起加入到“负责任的漏洞披露”过程中来,一起为建设安全健康的互联网而努力
威胁情报反馈与处理流程
[ 预报告阶段]
威胁情报报告者授权腾讯威胁情报反馈平台(t/index.php/report)生成帐号
[ 报告阶段]
威胁情报报告者登陆腾讯威胁情报反馈平台,提单反馈威胁情报(状态:待审核)
[ 处理阶段]
1)一个工作日内,腾讯安全应急响应中心(以下简称TSRC)工作人员会确认收到的威胁情报报告并跟进开始评估问题(状态:审核中)
2)三个工作日内,TSRC工作人员处理问题、给出结论并计分(状态:已确认/已忽略)。
立冬当天吃什么传统食物必要时会与报告者沟通确认,请报告者予以协助。
[ 修复阶段]
1)业务部门修复威胁情报中反馈的安全问题并安排更新上线(状态:已修复)。修复时间根据问题的严重程度及修复难度而定,一般来说,严重和高风险问题24小时内,中风险三个工作日内,低风险七个工作日内。客户端安全问题受版本发布限制,修复时间根据实际情况确定。
2)威胁情报报告者复查安全问题是否修复(状态:已复查/复查异议)。
[ 完成阶段]
1)TSRC每月第一周内,发布上月威胁情报处理公告,向上月的威胁情报报告者致谢并公布威胁情报处理情况;严重或重大影响威胁情报会单独发布紧急安全公告
2)威胁情报报告者可以使用积分兑换安全币,通过安全币在虚拟市场置换现金或礼品,置换完成后,TSRC为威胁情报报告者发出现金或礼品;同时不定期也会有奖励及线下活动
3)在得到威胁情报报告者许可的情况下,TSRC不定期挑选有代表意义的威胁情报进行分析,分析文章将发表在TSRC
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论