公告编号:作者:admin发布日期:2023/07/20
| 版本号 | 修订内容 | 发布日期 |
|---|---|---|
| 试行版 | 发布试行版 | 2023年7月1日 |
快看安全中心坚定遵守相关法律法规的规定,并致力于通过隐私众测培养优秀的隐私保护力量,以提高公司内部的合规能力。我们承诺,每一份提交的报告都将由专业团队进行评估与处理,对于隐私漏洞的提供者,我们将给予相应的奖励。
快看强烈反对任何有损公司利益的行为。未经授权,任何人不得在公众场所或平台上讨论或披露隐私漏洞的细节,也不得向任何第三方泄露隐私漏洞信息。如有上述行为,快看保留追究其法律责任的权利。
一般情况下,我们依据奖励评级细则实施分级奖励;对于存在争议的问题,将由安全团队内部进行深入讨论并通过投票决定评级。请注意,最终对评级细则的解释权归安全团队所有。
业务范围:所有面向终端用户的快看应用
根据隐私问题发现的难易程度、影响程度、发生可能性等因素,将隐私漏洞分为高、中、低三个等级。
请注意,此评分规则仅供参考。漏洞的最终评分将根据漏洞的实际发现利用难度、业务特性、漏洞的影响范围、报告的详细程度、复测过程中上报者的配合程度等多个因素进行综合评定。快看安全中心享有最终解释权。
漏洞忽略:在一般情况下,如下问题会被忽视:法律、法规和标准中的相关要求处于暂未发布施行的状态(如草稿、征求意见稿、未实施),或已发布但只面向部分行业生效或暂未实质推行(如面向部分行业的推荐性标准只针对对应行业生效),隐私政策中错别字问题。
隐私漏洞报告要求:
技术类隐私漏洞需提供有效的日志类信息,包括但不限于:完整的测试堆栈信息、其网络流量抓包截图、284log或其他日志文件。只提交检测平台、检测工具类的结果截图类证据将不被接受。
仅以静态扫描Manifest结果为依据提交的缺少相关隐私声明的漏洞,但没有提供实际调用记录的,确认为低危,有调用记录的,确认为中危。
仅提供SDK列表截图,白帽子提示SDK列表不全以外,还应当补充提交关于SDK实际传输了数据给第三方的证据。否则不予通过。
漏洞级别 | 判定标准: 与主要用户所在的国家或地区的相关法律法规冲突,未及时修复能够导致企业的经营、或声誉等受到损害; | 奖励标准(安全币) |
|---|---|---|
| 高危 | 问题新颖且行业内罕见,需要一定技术深度才能够发现的问题 | 1500-2500 |
| 中危 | 一般情況下,隐私漏洞的发现与鉴别需要一定的技术手段。包括但不限于:
除此之外,隐私政策中的重要内容遗漏,也属于中危险漏洞,包括:
| 400-800 |
| 低危 | 一般情况下,该类问题不需要技术手段就可以发现,如隐私政策中描述性内容文本遗漏等,包括但不限于:
| 50-150 |
漏洞接收范围:
与主要用户所在的国家或地区的相关法律法规冲突,未及时修复能够导致企业的经营、声誉等受到损害;
漏洞类型 | |
隐私声明存在缺陷 |
|
不合规数据采集 |
|
不合规隐私权限使用 |
|
用户权利问题 |
|
产品设计缺陷 |
|
其他 | n/a |