腾讯发起针对基础架构的自由软件项目的漏洞奖励计划
2014-11-11 17:10:01 点击：

日前，腾讯安全应急响应中心（TSRC）发布公告，称其将对“一些通用框架、组件、应用程序或者系统”中发现的漏洞镜像奖励，其中包括Linux、Android、PHP、Apache、OpenSSL、nginx、Tomcat等基础架构的自由软件。针对提交的漏洞的危害程度，会有1-50万的现金奖励。

公告全文如下：

[TPSA14-22] 通用软件安全漏洞奖励计划

公告编号：TPSA14-22

公告来源：TSRC

发布日期：2014-10-28

公告内容：

        2014年4月，OpenSSL被爆出存在“心脏流血”漏洞，黑客可以远程获取服务器及用户敏感信息甚至控制服务器。OpenSSL作为一个被广泛使用的软件，这个漏洞影响了整个互联网，几乎所有的大型互联网公司及其用户都受到影响。

        2014年9月，Linux的bash被爆出“破壳”漏洞，黑客可以远程控制服务器。由于Linux bash使用广泛，影响巨大。同时对一些嵌入设备的影响还在持续发酵中。

        此外，Android上的浏览器组件WebView存在UXSS漏洞，导致可以盗取用户身份标识及敏感信息，几乎影响所有调用WebView的APP。

        从以上案例我们可以看到，一些通用框架、组件、应用程序或者系统（以下统称为“通用软件”）被广泛使用，如果这些通用软件出现安全漏洞，将极大地威胁到互联网及用户安全。

        为了更好地保障互联网用户安全，腾讯安全应急响应中心（TSRC）专门制定了“通用软件漏洞奖励计划”，以现金方式奖励和收集白帽子发现的通用软件漏洞并遵循负责任的安全漏洞披露过程予以处理。

【适用条件】

1、影响腾讯及其他厂商的广泛使用的通用软件，优先以下列表：

      操作系统：Linux 、iOS 、Android

      应用软件：PHP、Apache、OpenSSL、nginx、Tomcat、struts、JAVA

2、漏洞危害级别为严重或高（一般是远程可以利用且危害较大），具体评估标准见后文；

3、漏洞未在外部公开，且需要提供可用的PoC；

4、通过腾讯“安全漏洞反馈平台”提交，类目选择“通用软件”

【评分标准】

注意：根据漏洞影响，还会提供1~50万不等的额外现金奖励

【后续处理】

        TSRC确认漏洞后，将按照流程计分打款，同时将按照负责任的漏洞披露过程向官方提交，并向受到影响的合作伙伴共享漏洞信息。在此期间报告者不得公开漏洞信息。

【关于合作伙伴】        

        我们欢迎各大互联网厂商安全团队加入漏洞信息共享计划。合作伙伴在漏洞修复期间，不得将漏洞信息对外传播。

【其他事项】

1、由于本计划初次发布，不可避免存在各种问题，需要各位海涵，TSRC愿意与大家一道捍卫互联网安全；

2、争议处理办法参见TSRC“腾讯漏洞奖励计划”；

3、TSRC抱着开放的心态，期望与各安全团队一起执行通用软件奖励计划，共同保护互联网及用户安全。