openEuler漏洞奖励计划

openEuler漏洞奖励计划与您一起共同打造健康安全的开源社区

https://www.openeuler.org

漏洞奖励计划

  • ¥15000

    严重

  • 8000

    高危

  • 2000

    中危

  • 500

    低危

简介

openEuler漏洞奖励计划于2020年12月1日上线试运行。

openEuler(www.openeuler.org)通过社区合作,打造创新平台,构建支持多处理架构、统一和开放的操作系统,推动软硬件应用生态繁荣发展。

openEuler社区非常重视社区版本的安全性,openEuler安全委员会负责接收、调查和披露openEuler社区相关的安全漏洞。openEuler社区鼓励漏洞研究人员和行业组织主动将openEuler社区的疑似安全漏洞通过加密邮件方式(openeuler-security@openeuler.org, PGP公钥)报告给openEuler安全委员会。openEuler安全委员会会快速地响应、分析和解决上报的安全问题或安全漏洞。


openEuler社区声明:

1. 在漏洞未修复前,我们希望您不要公开和传播。我们承诺:对每一份报告,都会有专门的安全人员进行评审、跟进并及时反馈最新的处理结果,并且我们会按照“漏洞奖励方案”对您的付出表示感谢。

2. 我们鼓励采用合法合规的方式测试漏洞。对于利用漏洞损害用户利益、影响业务运营、盗取用户数据、恶意传播漏洞或数据等涉嫌违反法律、行政法规规定或违反openEuler社区管理规定、网站协议等的违法行为,openEuler社区均将保留追究法律责任的权利。

3. openEuler社区委托漏洞盒子平台开展漏洞奖励计划,openEuler社区不会接触、获取研究者个人信息。openEuler安全委员会在通过邮件与报告者确认漏洞有效性,级别和奖金数额后,由漏洞盒子负责后续奖金支付流程。

漏洞规则

测试前请先了解相关规则!

漏洞评分标准

漏洞级别参考CVSS (全称Common Vulnerability Scoring System,即“通用漏洞评分系统”)的漏洞定级评分系统。

在线打分参考:

https://www.first.org/cvss/calculator/3.1

https://www.vulbox.com/cvss

漏洞提交方式

通过加密邮件,以报告的形式提交至openEuler安全委员会(openeuler-security@openeuler.org, PGP公钥)。

报告格式

报告中应含有以下内容:

基本信息:包括漏洞影响的模块、漏洞的触发条件和成功利用后对系统的影响等。

技术细节:包括系统配置、定位方法、Exploit的描述、POC、问题重现方法和步骤等。

修复方案建议。

具体请参考openEuler官网漏洞上报内容要求。

漏洞奖励

奖励基于每个漏洞的严重性级别。

多个研究者重复上报的漏洞,只有第一位上报漏洞的研究者会被给予奖励;奖励金额最终由openEuler安全委员会决定。

推广期额外奖励(不区分漏洞级别):

a) 第一个漏洞奖金翻倍

b) 前十个漏洞每个漏洞额外奖励¥2000

测试过程中的禁止行为

a) 非授权访问、下载、修改或删除不属于自己的数据,仅允许通过POC证明问题存在;

b) 禁止发起网络钓鱼或者社会工程学攻击;

c) 不得为任何非法目的而使用漏洞及漏洞相关信息,不得从事以下活动:

1) 未经允许进入计算机信息网络或者使用计算机信息网络资源;

2) 未经允许,对计算机信息网络功能进行删除、修改或者增加;

3) 未经允许,对进入计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;

4) 故意制作、传播计算机病毒等破坏性程序;

5) 未经允许,进入计算机信息网络中获取相关网站系统以及平台中储存的数据;

6) 其他危害计算机信息网络安全的行为;

7) 如因上述行为给openEuler造成损失的,您应予赔偿,因您上述行为违反法律的,您将独立承担相应的法律后果。

参与人限制

openEuler安全委员会成员及相关项目维护者(maintainer)和审核者(committer)不得参与该奖励计划。

资产

目前漏洞奖励计划的范围限定如下:

a) 发行版本: openEuler-20.03-LTS和openEuler-20.03-LTS-SP1(所有包通过“yum update”升级到openEuler官方仓库的最新版本。)

b) 运行平台:x86_64或arm64

c) 项目:

 iSulad

 A-Tune

不属于奖励计划范围

与以上指定项目的安全问题无直接关联的“漏洞”,包括但不限于:

a) 不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。

b) 无法利用的漏洞。包括但不仅限于Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。

c) 不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。

d) 任何非敏感信息泄露(如IP地址,服务名称以及一些无用的错误信息,如栈跟踪信息)。

e) 指定项目所依赖的上游组件的任何漏洞。

相关入门知识:

iSulad:

https://openeuler.org/zh/docs/20.03_LTS/docs/Container/container.html

https://openeuler.org/zh/docs/20.03_LTS_SP1/docs/Container/container.html

https://gitee.com/openeuler/iSulad

https://space.bilibili.com/527064077/video?keyword=isula

A-Tune:

https://openeuler.org/zh/docs/20.03_LTS/docs/A-Tune/A-Tune.html

https://openeuler.org/zh/docs/20.03_LTS_SP1/docs/A-Tune/A-Tune.html

https://gitee.com/openeuler/A-Tune

https://space.bilibili.com/527064077/video?keyword=a-tune

帮助获取

如有环境设置的疑问或远程测试环境需求,可参考https://gitee.com/openeuler/security-committee/wikis/%E6%BC%8F%E6%B4%9E%E5%A5%96%E5%8A%B1%E8%AE%A1%E5%88%92?sort_id=3516807,或联系openeuler-security@openeuler.org获取进一步信息。

注意事项

以上条款将在发布之日起生效,后期我们会通过网站上传修改版本的方式向您通知修改内容,除非另有说明,修改后的条款内容将于发布当日生效,openEuler安全委员会可能会对内容不定期修改。

如您对以上相关内容有任何意见或建议,请您联系openeuler-security@openeuler.org。

商务咨询:400-156-9866
商务邮箱:mkt@vulbox.com

电话服务(周一至周五 早9:00–18:00)