为了更好地保障互联网用户安全,腾讯安全应急响应中心(TSRC)专门制定了“通用软件漏洞奖励计划”,以额外现金方式奖励和收集白帽子发现的通用软件漏洞并遵循负责任的安全漏洞披露过程予以处理。
【适用条件】
1、影响腾讯及其他厂商的广泛使用的通用软件,优先以下列表:
操作系统:Linux 、iOS 、Android
应用软件:PHP、Apache、OpenSSL、nginx、Tomcat、struts、JAVA
2、漏洞危害级别为严重或高(一般是远程可以利用且危害较大),具体评估标准见后文;
3、漏洞未在外部公开,且需要提供可用的PoC;
4、通过腾讯“安全漏洞反馈平台(security.tencent.com)”提交,类目选择“通用软件”
【评分标准】
注意:根据漏洞影响,还会提供1~50万不等的额外现金奖励
【后续处理】
TSRC确认漏洞后,将按照流程计分打款,同时将按照负责任的漏洞披露过程向官方提交,并向受到影响的合作伙伴共享漏洞信息。在此期间报告者不得公开漏洞信息。
【关于合作伙伴】
我们欢迎各大互联网厂商安全团队加入漏洞信息共享计划。合作伙伴在漏洞修复期间,不得将漏洞信息对外传播
【其他事项】
1、由于本计划初次发布,不可避免存在各种问题,需要各位海涵,TSRC愿意与大家一道捍卫互联网安全;
2、争议处理办法参见TSRC“腾讯漏洞奖励计划”;
3、TSRC抱着开放的心态,期望与各安全团队一起执行通用软件奖励计划,共同保护互联网及用户安全