流程
业务沟通
协议签署
协商日期
正式发布
发放奖励
漏洞赏金介绍
处理流程
报告阶段
报告者访问「慢雾区」网站,进入「赏金漏洞提交」页面(URL:https://slowmist.io/bug-bounty.html)提交威胁情报(状态:待审核)
处理阶段
1. 一个工作日内,慢雾安全团队会确认「慢雾区」收到的威胁情报报告并跟进开始评估问题, 同时将情报反馈给入驻厂商对接人(状态:审核中)
2. 三个工作日内,入驻厂商技术团队处理问题、给出结论并计分(状态:已确认/已忽略)。必要时会与报告者沟通确认,请报告者予以协助
修复阶段
1. 入驻厂商业务部门修复威胁情报中反馈的安全问题并安排更更新上线(状态:已修复)。修复时间根据问题的严重程度及修复难度而定,一般来说,严重和高危问题 24 小时内,中危问题三个工作日内,低危问题七个工作日内。客户端安全问题受版本发布限制,修复时间根据实际情况确定
2. 报告者复查安全问题是否修复(状态:已复查/复查异议)
3. 报告者确认安全问题已修复后,入驻厂商技术团队告知慢雾安全团队处理结论和漏洞得分,并与慢雾安全团队一起发放奖励(状态:已结束)
漏洞奖励标准
| 等级 | 入驻厂商奖励* | 慢雾区奖励 |
| 严重 | x ETH | 512 慢雾区积分 |
| 高危 | x ETH | 256 慢雾区积分 |
| 中危 | x ETH | 100 慢雾区积分 |
| 低危 | x ETH | 32 慢雾区积分 |
*备注:最终发放的奖励取决于漏洞严重程度和漏洞真实影响,表格中的数值为各等级最高奖励。
