漏洞处理与评级标准
欢迎您加入 DJI Bug Bounty 项目,本项目旨在提升产品与业务系统的信息安全水平。 DJI 高度重视信息安全,并充分认可安全研究者及安全社区在推动 DJI 安全能力提升方面的重要价值。 我们鼓励安全研究者报告 DJI 产品或服务中存在的安全漏洞。对于确认有效的漏洞,我们将根据漏洞质量给予相应的奖励。
一、漏洞处理流程
您进入 DSRC https://security.dji.com 后可根据相关指引提交 DJI 产品和服务漏洞。 DJI 将对您提交的漏洞进行评估,若被认定为有效漏洞,DJI 将给予每个漏洞至少 350 人民币的奖励,DJI 会从奖励金中扣除个人所得税(如有)。
【漏洞报告要求】
符合要求的高质量漏洞报告将会加快 DJI 漏洞评估的进程,同时加快您获得奖励的进程。高质量的报告要求:
1. 提供详细的漏洞细节描述,包括:
(1)复现漏洞的详细步骤;
(2)非破坏性的漏洞 POC(比如:对于 RCE 漏洞,运行 "hello world")。
2. 提供详细的测试环境信息,包括:
(1)漏洞涉及的URL、APP、代码片段等;
(2)对于产品设备类漏洞,请提供设备的型号、版本号等信息;
(3)请保留测试时的数据,并作为报告附件提交。
请注意:缺少上述信息可能会导致 DJI 评估漏洞困难,进而影响对您的响应及奖励发放事宜。
【漏洞报告有效范围】
(1)域名:dji.com、dji.net、djicdn.com、djivideos.com、djiservice.org、djiag.com、skypixel.com、robomaster.com、djiits.com。
(2)APP:DJI Fly、DJI Mimo、DJI Ronin、畅片、DJI Pilot、大疆农服、Avinox、大疆行业。
(3)在 DJI 安全维护周期内的相关产品。
请注意:DJI 不接受对于停止销售或者已经官方宣布不再支持的产品或服务的漏洞反馈,DJI 不接受关于第三方产品或服务的漏洞反馈。
【漏洞评级因素】
(1)可能泄漏的数据的敏感程度及数量;
(2)漏洞的易利用程度;
(3)对 DJI 用户造成损失的可能性及总体风险;
(4)DJI 产品或者服务器的受影响范围。
请注意:在对漏洞进行评级时,下列因素不在 DJI 的考虑范围:
(1)您在漏洞挖掘过程中投入的时间成本;
(2)您为了漏洞挖掘所购买 DJI 产品的花费;
(3)已被 DJI 所知晓的漏洞;
(4)其他不能明确漏洞影响或者严重程度的因素。
二、漏洞评级及奖励标准
DJI将向满足以下条件的漏洞报告者发放奖励,以表示对漏洞报告者的感谢:
(1)漏洞的第一报告者。
(2)DJI 安全团队认定漏洞确实存在并且能够对 DJI 环境产生实际安全影响。
(3)漏洞报告者接受并遵守所有的条款。
请注意:1)已知漏洞不能获得奖励;2)DJI拥有对奖励的最终解释权;3)对于奖励产生的税收,由漏洞报告者承担。
漏洞评级细则: 《WEB 系统漏洞评级标准》 《产品设备及APP漏洞评级标准》
此外,对于经评估为真实有效的安全情报,基础奖励为500人民币。若该情报揭示了重大威胁行为、攻击组织活动或高危泄漏事件,将视严重程度给予更高奖励,不设上限。
三、漏洞修复说明
致命/高/中级别漏洞将在90个工作日内修复,低级别漏洞将在180个工作日内修复。漏洞修复可能会受环境或硬件的限制,实际修复时间将根据具体情况确认。
四、漏洞披露要求
关于漏洞的披露,您必须遵循以下要求:
(1)不在未获得 DJI 许可的情况下向他人披露有关漏洞的任何细节;
(2)获得 DJI 的许可后,在披露过程中不公布用户数据、用户隐私或 DJI 服务器地址等可能损害 DJI 及用户合法权益的信息;
(3)必须客观、真实描述漏洞的影响,任何夸大漏洞影响、煽动用户、恶意制造恐慌的行为将会受到追究;
(4)任何访问、下载、传播 DJI 源码或者数据的行为可能触犯法律,并且 DJI 保留追究的权利。
为评估您的披露请求,请您下载并填写《漏洞披露申请信息收集表》后,并将该表与计划公开披露的完整内容及相关资料一并发送至邮箱 bugbounty@dji.com,我们将在收到完整材料后启动审核流程,审核通过后,DJI 将向您出具《漏洞披露书面同意函》。
漏洞披露申请信息表: 《漏洞披露申请信息收集表》