成为白帽大神 | 挑战 openGauss漏洞奖励计划

openGauss 2022-06-07
285

openGauss漏洞奖励计划上线

(2022.06.02)


openGauss漏洞奖励计划已于2022年6月2日上线试运行。

openGauss社区非常重视社区版本的安全性,openGauss SIG Security负责接收、调查和披露openGauss社区相关的安全漏洞。openGauss社区鼓励漏洞研究人员和行业组织主动将openGauss社区的疑似安全漏洞报告给openGauss SIG Security。SIG Security会快速地响应、分析和解决上报的安全问题或安全漏洞。


openGauss漏洞奖励计划规则

漏洞评分标准:

漏洞级别参考CVSS (全称Common Vulnerability Scoring System,即“通用漏洞评分系统”)的漏洞定级评分系统。
在线打分参考:
https://www.first.org/cvss/calculator/3.1
https://www.vulbox.com/cvss

漏洞提交方式:

通过邮件形式提交至SIG Security的邮件列表:securities@opengauss.org


安全小组成员信息如下:

  • 朱金伟 zhujinwei@huawei.com

  • 郭亮 liang4358@163.com

  • 李建峰 bigtimer@qq.com

  • 张耀中 zhangyaozhong1@huawei.com

  • 刘哲理  liuzheli@nankai.edu.cn

漏洞上报内容:

为了便于快速的确认和验证疑似漏洞,请在漏洞上报邮件中包含但不限于以下内容:

  1. 基本信息:包括漏洞影响的模块、漏洞的触发条件和成功利用后对系统的影响等。

  2. 技术细节:包括系统配置、定位方法、Exploit的描述、POC、问题重现方法和步骤等。

  3. 修复方案建议。

  4. 上报者的组织和联系方式。

  5. 上报者可能的漏洞披露计划。

漏洞奖励:

奖励基于每个漏洞的严重性级别。

多个研究者重复上报的漏洞,只有第一位上报漏洞的研究者会被给予奖励;奖励金额最终由openGauss SIG Security决定。
推广期额外奖励(不区分漏洞级别):
a) 第一个漏洞奖金翻倍
b) 前十个漏洞每个漏洞额外奖励¥2000

漏洞响应时间:

我们将在5天内响应通过邮箱上报的疑似安全漏洞,并向上报者反馈漏洞处理的进展。

参与人员:

  • 个人/组织均可参与。

  • openGauss SIG Security及相关项目维护者(maintainer)和审核者(committer)不得参与该奖励计划。


漏洞奖励计划的范围限定


a) 发行版本: openGauss_3.0.0
b) 运行平台:x86_64或arm64
c) 项目:openGauss-server

不属于奖励计划范围:

与以上指定项目的安全问题无直接关联的“漏洞”,包括但不限于:
a) 不涉及安全问题的Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。
b) 无法利用的漏洞。包括但不仅限于Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。
c) 不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。
d) 任何非敏感信息泄露(如IP地址,服务名称以及一些无用的错误信息,如栈跟踪信息)。
e) 指定项目所依赖的上游组件的任何漏洞。

注意事项:

以上条款将在发布之日起生效,后期我们会通过网站上传修改版本的方式向您通知修改内容,除非另有说明,修改后的条款内容将于发布当日生效,openGauss SIG Security可能会对内容不定期修改。
如您对以上相关内容有任何意见或建议,请您联系securities@opengauss.org。


相关知识获取


相关入门知识:

openGauss官方文档:https://opengauss.org/zh/docs/3.0.0/docs/BriefTutorial/BriefTutorial.html

帮助获取:

如有环境设置的疑问或远程测试环境需求,可参考https://opengauss.org/zh/docs/3.0.0/docs/installation/installation.html获取进一步信息。


社区声明

1. 在漏洞未修复前,我们希望您不要公开和传播。我们承诺:对每一份报告,都会有专门的安全人员进行评审、跟进并及时反馈最新的处理结果,并且我们会按照“漏洞奖励方案”对您的付出表示感谢。

2. 我们鼓励采用合法合规的方式测试漏洞。对于利用漏洞损害用户利益、影响业务运营、盗取用户数据、恶意传播漏洞或数据等涉嫌违反法律、行政法规规定或违反openGauss社区管理规定、网站协议等的违法行为,openGauss社区均将保留追究法律责任的权利。

3. openGauss社区委托漏洞盒子平台开展漏洞奖励计划,openGauss社区不会接触、获取研究者个人信息。openGauss SIG Security在通过邮件与报告者确认漏洞有效性,级别和奖金数额后,由漏洞盒子负责后续奖金支付流程。

欢迎访问openGauss官方网站

openGauss开源社区官方网站:

https://opengauss.org

openGauss组织仓库:

https://gitee.com/opengauss

openGauss镜像仓库:

https://github.com/opengauss-mirror

扫码关注我们

微信公众号|openGauss

微信社群小助手|openGauss-bot



阅读原文,参与openGauss漏洞奖励计划。

文章转载自openGauss,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

评论