漏洞该值多少钱?360SRC公布漏洞评分系统

  • 来源: 驱动中国   2017-02-24/11:30
  • 白帽子向企业或第三方漏洞响应平台提交漏洞时,由于各种原因,双方不免会一些存在对漏洞理解的分歧。

    2月23日,在360SRC(安全应急响应中心)三周年庆典活动上,360WEB安全团队0KEE TEAM负责人张鲁表示,企业与白帽子在漏洞评估问题存在争议很正常,360SRC不断完善漏洞评估体系,就是为了向白帽子提供更公开、透明的平台。

     

    1

    张鲁认为,企业SRC平台与白帽子的争议主要围绕漏洞忽略争议和漏洞评估争议两个方面。为了解决这类问题,360SRC不仅协调整理了所有业务线数据,同时根据不同的漏洞类型、业务背景、业务场景、漏洞挖掘难度等各种因素,制定了计算漏洞价值的公式,通过算法来公平的评估白帽子提交的漏洞价值。

    “同类型的漏洞在不同的场景下可能造成不同的危害性,所以我们不能简单粗暴的就根据某一种类型的漏洞去评估一个漏洞的价值。”张鲁也提到,为了确保这套评估公式有效运行,更加公平地评估漏洞价值,张鲁也建议白帽子们在提交漏洞时,应统一提供一份包含漏洞产生业务背景、产生原因、如何复现、怎样修复几大要素的漏洞报告。

    张鲁表示,一个完善的制度体系是需要时间不断打磨,去适应各种各样的环境。争议产生也并不可怕,只要辅以有效沟通,争议也将推动SRC的发展,“我们欢迎白帽子向我们提出问题,也将继续努力提升平台的使用体验”。

     

    2

    当天,360SRC还为2016年平台优秀白帽子进行了颁奖。据悉,360SRC自2013年正式成立至今,已经吸引了上千名白帽子黑客加入。2016年,360SRC全年向白帽子发放奖金超过100万。2017年360还将增加投入,预计全年将发放现金奖励200万以上。


    评论 {{userinfo.comments}}

    {{money}}

    {{question.question}}

    A {{question.A}}
    B {{question.B}}
    C {{question.C}}
    D {{question.D}}
    提交

    驱动号 更多