公告
back

小米IoT安全守护计划众测规则

由 大魔王 于 2018-01-02 20:27:38 发表

一、基本原则

 

1. 小米一直以来极度重视保障产品的安全与用户的隐私,为进一步提升产品安全性,我们正式推出小米IoT安全守护计划,诚邀IoT安全研究领域的专家们参与安全众测,共同守护海内外数亿小米用户的智能生活。

 

二、众测基本规则


1. 参与众测需要首先注册并登录小米账号。


2. 参与众测需要签署或同意小米安全中心(MiSRC)关于众测的相关协议,并遵守协议中对白帽子的约束条款,保证发现的漏洞不会在未授权的情况下进行公示与披露,避免被恶意利用损害用户安全。


3. 小米安全中心每次众测会选择一款IoT设备提供给白帽子进行测试,测试人数及漏洞需求将在众测项目中公布。 若该智能设备尚未发布上市,则白帽子需要遵守保密义务。


4. 小米安全中心会根据白帽子提交的漏洞问题及完成程度给予评级,并给予白帽子相应的奖励,具体奖励规则参见小米安全中心各众测项目页面。小米IoT安全守护计划单项最高奖励50万人民币,具体获奖名单及奖金金额以每期公告为准。


5.  项目结束后,小米安全中心将根据白帽子提交漏洞的质量及众测产品来决定是否收回众测产品。

  

三、反馈及处理流程

 

1. 报告:参与众测者发现的IoT设备安全漏洞,通过小米安全中心( sec.xiaomi.com )众测页面提交。


2. 处理:提交漏洞后,小米安全中心会依据评分标准评估漏洞危害及影响并进行跟踪。


3. 修复:在确认漏洞后,我们会提交给业务部门进行修复,由于IoT设备漏洞修复周期较长,未经小米安全中心允许,不得公开漏洞内容。


4. 完成:在提示修复完成后,请白帽子进行漏洞复测。若问题仍存在,白帽子可以再次提交反馈。小米安全中心根据情况进行公开致谢,并给予奖励。

 

四、评分标准及周期

 

每期众测项目公告中公布相应的评分标准及众测周期。

 

五、评分标准通用原则

 

1. 评分标准仅针对小米该期众测活动中的IoT设备。


2. 对于IoT设备中使用到第三方库所产生的漏洞并且可通过升级或更改第三方库完成修复的漏洞,仅给首个漏洞报告者记分;当第三方库未发布修复方案时,仅对同一类漏洞按一个漏洞计分。


3. 禁止以安全测试为名,进行任何损害用户、影响业务运行、盗取数据、公开敏感数据、在所有用户修复漏洞前将细节发布在其他平台或在互联网直接公开等行为。发生以上情况将不会计分,同时小米保留采取进一步追究法律责任的权利。 


4. 获得漏洞奖励需同时满足以下要求:


  a) 时效性

白帽子发现漏洞后先提交简要证明,可证实漏洞真实存在,我们会以此记录白帽子发现该漏洞最初的时间点;


  b) 完整性

在漏洞提交后的五天内对漏洞细节进行补充说明,包括漏洞发现手段、分析过程与最终的危害证明(POC代码等)。在漏洞提交后的五天后该报告仍未进行补充的,视为无法利用自动放弃,不进行奖励(离项目结束不足五天的,按项目规定结束日期为准,不予延期);


  c) 真实性

小米安全团队依据白帽子提交漏洞报告内容进行复现,测试成功与描述无异议的进行奖励;如未能复现或细节存在异议的,进行沟通修正后漏洞确认有效的,进行奖励;沟通后仍无法复现的,视为漏洞无效或测试流程不符合要求,不进行奖励;


  测试过程中存在重复漏洞报告的,按时效性要求中所记录的报告时间点进行优先奖励:


  a) 相同漏洞两人重复情况按照如下方式操作:第一名提交:获 70%奖励、第二名提交:获 30%奖励;


  b) 相同漏洞三人重复情况按照如下方式操作:第一名提交:获70%奖励、第二名提交:获20%奖励、第三名提交:获10% 奖励;


  c) 相同漏洞四人及以上重复提交的情况只取前三名进行奖励;


  因小米安全团队也会进行 IoT 设备安全检测,并提交内部安全报告,但提供给白帽子的设备固件可能还未修复这些已知漏洞,众测过程中提交这些漏洞会判定为已知问题,不参与奖励计划。

(为体现小米安全众测公正的态度,在众测之前我们会在第三方网站发布电子声明,公布已知漏洞内容的HASH值,一旦出现已知漏洞争议,我们会提供该漏洞内容原件,白帽子自行与发布的电子声明HASH进行比对)


六、争议解决办法

 

若漏洞提交者对处理流程、评分等有异议,可联系小米安全中心相关人员进行沟通。小米安全中心将依据漏洞提交者利益优先的原则进行跟踪处理,必要时引入外部人士共同裁定。


小米安全中心在法律允许的范围内对本活动评判标准和规则拥有解释权与修改权。