漏洞披露与处理公约

 

为了更好地促进互联网公司与安全研究界合作,约束和激励互联网公司快速有效地响应安全漏洞报告,由工作组联合安全企业,中立机构等发起倡议,拟定了《互联网企业安全漏洞披露与处理公约》,号召软件企业和研究人员更负责任地处理漏洞,避免用户受到攻击。

总则如下:

一. 为了更好的处理安全漏洞,保护互联网用户安全和隐私,尊重安全从业人员的智力劳动成果与价值,促进中国互联网安全行业健康有序的发展,制定本公约。
二. 本公约由互联网安全工作组(以下简称“安全工作组”)各会员企业协商讨论共同制定。
三. 本公约所称的安全漏洞(以下简称“漏洞”),泛指一切能够被利用来降低系统安全性的软件、硬件及服务的缺陷。
四. 漏洞的披露与处理作为影响互联网安全的重要因素,应当秉承“尊重、合作、共赢”的精神,进行规范、妥善的处理。
五. 本公约适用于安全工作组会员单位,以及加入《互联网企业安全漏洞披露与处理公约》的从业者,并且倡议其他从业企业、组织和个人积极遵守。
六. 安全工作组在本公约签署单位中施行争议和纠纷调解机制。

公约要点:互联网企业应-

1) 承诺提供可用的官方安全事件、漏洞反馈渠道
2) 承诺对每位报告者反馈的问题都有专人进行跟进、分析和处理,并给予及时答复或公告
3) 承诺对于每位以保护用户利益为目的,帮助企业提升产品安全质量的报告者,将给予感谢和回馈
4) 反对在安全问题解决前公开披露漏洞细节的行为
5) 反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、恶意传播漏洞等

目前签约支持此公约的企业有: 腾讯、微软、人人、百度、网易、新浪、阿里巴巴

欲查看《互联网企业安全漏洞披露与处理公约》的详细内容,请点击下载。

漏洞公约申报渠道:

公约参加成员 报告渠道
腾讯 security.tencent.com
微软 secure@microsoft.com
百度 security@baidu.com
http://loudong.baidu.com/
网易 security@corp.netease.com
http://aq.163.com/
新浪 http://sec.sina.com.cn/
security@staff.sina.com.cn
阿里巴巴
安全应急响应中心
security@service.alibaba.com
http://security.alibaba.com/
新浪&腾讯微博:@ 阿里安全
人人网 Http://Safe.renren.com/vul/