返回公告主页

我们希望能够借助集体的力量提升我们的安全水平 

漏洞报告与处理流程


公告编号:ASRC-2014-22

公告来源:阿里巴巴集团安全应急响应中心

发布日期:2014-12-31

公告内容:本标准自2015年1月1日起执行

登录并完善资料

使用淘宝网账号登录阿里巴巴集团安全应急响应中心(以下简称ASRC)并完善资料(请确保资料真实有效)

报告漏洞

填写漏洞相关信息并提交漏洞(请务必详尽,在漏洞未修复之前请不要公开和传播)(状态:确认中)

处理漏洞

漏洞提交后24小时内(法定节假日顺延),ASRC会对收到的漏洞报告进行评估(状态:待补充/修复中/已驳回):

  • 1、 待补充:漏洞描述不清,请报告者在72小时内补充漏洞信息便于我们评估,超过72小时未补充系统将驳回漏洞;
  • 2、 修复中:漏洞确认存在,我们正在修复,ASRC会在漏洞确认后三个工作日内给予评分;
  • 3、 已驳回:漏洞不存在或重复上报等,ASRC将驳回漏洞,并告知驳回理由。

如有需要我们会联系您以取得协助。

修复漏洞

修复漏洞并发布(状态:已修复)。漏洞修复时长依据漏洞的危害等级、修复难度等综合因素而定。严重漏洞 24 小时修复,高危漏洞三个工作日修复,中危漏洞五个工作日修复,低危漏洞20个工作日修复。客户端漏洞因受版本发布限制,修复时长根据实际情况而定。

奖励计划

ASRC将按照漏洞奖励计划给予漏洞报告者奖励(详见 漏洞奖励计划