持安科技安全应急响应中心漏洞处理流程

一、基本原则

为了更好的提升持安科技零信任产品的安全能力，同时提升持安科内部技术能力，持安科技安全应急响应中心（以下简称CASRC）真诚向外界白帽子收取持安科技产品的安全漏洞。本则标准描述了CASRC处理隐私漏洞报告时的具体流程和做法，同时公示了对于不同等级漏洞的奖励标准，为漏洞发现者及漏洞报告者从事漏洞发现和报告的活动提供指引。

二  适用范围

限于由持安科技提供的持安科技零信任平台产品。包括不仅限于不定时开展的产品众测活动，以及参加持安安全众测活动的相关人员和组织。

三 测试范围

1. 持安零信任平台以及Android端、IOS端、MacOs端、Windows端等客户端产品

2. 以下内容不在测试范围：

 -  其它任何*.chiansec.com。

• 与持安科技零信任平台对接的第三方系统、应用，均不在测试范围内。

• 其它持安科技认为不属于本公司产品的内容。

四、漏洞提交与处理流程

1、注册

白帽子通过CASRC平台（https://security.chiansec.com/） 进行用户注册。

2、提交漏洞

白帽子通过CASRC平台提交漏洞，漏洞报告中应当包含完整的漏洞描述信息与细节，也可通过上传附件的方式提交漏洞。

3、处理漏洞

1.CASRC工作人员在收到漏洞后的一个工作日内，会立即确认收到的报告并跟进。

2.在三个工作日内，CASRC工作人员会给出结论和贡献值，贡献值可用于兑换现金奖励。

3.如出现漏洞忽略，CASRC工作人员会在漏洞报告下方回复详细的忽略原因。

四、修复漏洞

CASRC工作人员反馈给持安科技内部并进行漏洞修复。

五、结束漏洞

持安科技内部修复并确认修复后，CASRC工作人员会在平台上将漏洞结果标记为已修复。白帽子可对此漏洞进行复测，如果使用不同的方式进行漏洞绕过，重新评定漏洞危害，并酌情发放贡献值。