MiSRC威胁情报评分标准与奖方案V1.0

即日起,小米安全中心在原有的“新漏洞评分标准与奖方案V1.0”的基础上,新增“小米安全中心威胁情报评分标准与奖方案V1.0”。意在收集小米公司自身产品、业务及合作厂商网站安全漏洞外存在的相关安全威胁。

什么样的情报是对小米安全有价值呢?有威胁即情报,情报可以是一个漏洞线索、自身业务的漏洞、攻击线索、攻击方式、攻击者信息等。收到情报后,我们会结合情报的实际价值,给出具体的奖励。奖励标准见后文。

威胁情报提交方式:

  • 登录小米账号在小米安全中心(MiSRC)官网提交
  • 发送邮件到专用邮箱 security@xiaomi.com 提交

威胁情报处理流程:

1. 情报报告者在线提交情报。

2. 情报报告者完善个人信息。

3. 小米安全中心(以下简称 MiSRC)工作人员审核情报,修改情报状态。依据各个情报的危害程度,确认一般在7个工作日内完成。必要时会与报告者沟通确认,请报告者予以协助。(由于安全威胁情报涉及面广,所涉及的内容可能复杂,确认时间有可能会加长。)

4. 情报报告者查看已提交的漏洞状态,有任何异议可在情报确认后7个工作日内与工作人员沟通,具体参考争议解决办法。

5. MiSRC在每月最后一天对该月的情报进行统计,5个工作日内在小米安全中心官网、官方微博、官方微信公布奖励信息。

6. 情报报告者提供详细信息,领取奖励。

 

威胁情报奖励标准:

根据情报的危害程度,分为严重、高危、中危、低危、无五个等级。以下是具体的评分标准以及线索案例:

小米安全中心

根据情报完整度增加评分系数标准,完整度评分范围1-10分,情报完整度越高评分系数越高。
小米安全中心

最终获取的奖励为,情报严重级别奖金*系数百分比。如:情报严重奖金为2500,提供的情报基本完整评分9分,则最终奖励2500*90%=2250

 

评分标准通用原则:

  • 评分标准仅适用于可威胁到小米公司产品和业务相关的情报。与小米公司完全无关的情报,不计分;
  • 小米生态链合作厂商的情报评分标准参见《小米生态链安全漏洞接受范围及评分标准》
  • 由于情报的时效性,报告已知或已失效的情报,不计分;
  • 被重复提交的同一问题,认定第一个报告者为有效报告者;
  • 涉及到与小米公司的情报,在情报未处理完成前公开的,不计分;
  • 人为自行制造安全威胁或安全事件情报的不计分,同时小米将保留采取追究法律责任的权利。