奖励计划

山石网科十分重视自身产品及服务的安全性。为了鼓励漏洞研究人员、行业组织、政府机构,供应商等主动将发现的山石网科产品及服务相关的漏洞报告给山石网科PSIRT,并持续改善自身产品的安全性,我们发布了漏洞奖励计划。我们承诺会对每一位上报者反馈的漏洞进行跟进、分析,处理,并及时给予答复。

漏洞奖励计划范围
漏洞奖励计划范围如下表,PSIRT会定期更新该表。
如果您发现的漏洞不在奖励计划范围内,我们将不会支付奖励;但是如果与本奖励计划有关,我们会考虑为您扩大我们的奖励范围。
我们会按照《山石网科产品漏洞管理制度》进行处理,同时希望您可以配合我们进行负责任的漏洞披露。

漏洞奖励计划范围表

产品线
产品类型
边界安全产品
  1. 下一代防火墙;
  2. 数据中心防火墙;
  3. 国产芯片高性能安全平台;
  4. 智能下一代防火墙;
  5. Web应用防火墙;
  6. 网页防篡改系统;
  7. IDPS入侵检测和防御;
  8. 云沙箱系统;
  9. 应用交付。
内网安全产品
  1. 智能内网威胁感知系统。
云安全产品
  1. 云界;
  2. 云格;
  3. 云集;
  4. NFV解决方案。
数据安全产品
  1. 数据泄露防护系统;
  2. 数据库审计与防护;
  3. 云数据库审计与防护;
  4. 静态数据脱敏系统。
智能分析管理产品
  1. 智源安全运营系统。
  2. 云景云服务平台;
  3. 安全管理平台;
  4. 日志审计平台;
  5. 运维安全网关。

漏洞定级标准与奖励金额

漏洞评分
危害程度
9 ≤ S ≤ 10
严重
7 ≤ S < 9
高危
4 ≤ S < 7
中危
0<S<4
低危
S=0
无风险
漏洞等级
奖励
严重
¥2000~¥13000
高危
¥1000~¥5000
中危
¥300~¥1000
低危
¥60~¥300
无风险
¥0~¥60
  • 漏洞等级参考CVSSv3的计算结果来初步判断,但最终定级是由山石网科PSIRT根据漏洞影响,利用难度,报告质量,产品信息等因素综合确定;
  • 高质量的漏洞报告有助于我们快速复现漏洞,定位问题。相对于低质量的漏洞报告,我们会给予更高的奖励;
  • 如果同一漏洞或同一问题漏洞的不同表现形式在漏洞修复前由多位漏洞提交者提交,最 先提交并清晰表述的提交者为唯一的奖励获得者;
  • 奖励金额最终由山石网科决定。

不在奖励计划内的人员
山石网科通信技术股份有限公司及其各分、子公司研发部及安全技术研究院员工(含外包员工)。

漏洞披露
我们要求在您上报的安全漏洞被修复之前,不要对外披露(这包括除您之外的任何第三方)。
若您打算在我们修复漏洞之后公开讨论漏洞,这包括会议演讲,发表技术分享文章等,请提前联系[email protected]
在安全漏洞未修复之前,被公开的安全漏洞不予奖励,并且您将不能参加山石网科的任何奖励计划项目。

注意事项
山石网科对以上所有条款具有最终解释权