情報セキュリティ評価基準
適用範囲
このプロセスは、Bitget Security Response Center([email protected])が受信されるすべてのインテリジェンス情報に適用されます。
実施日
発行日時点で実施されます。
基本原則
1. Bitgetは、製品とサービスのセキュリティーを非常に重視しています。各レポーターからのフィードバックはすべてフォローアップ、分析、処理され、迅速に対応されることをお約束します。
2. Bitgetは、責任があるバグの開示と処理をサポートしています。ホワイトハットの精神を守り、ユーザーの利益を保護し、Bitgetの安全性と品質の向上を支援するすべてのユーザーに感謝とフィードバックを提供することをお約束します。
3. Bitgetは、バグを悪用してユーザーに損害を与えたり、危害を加えたりするためのバグテストを口実として使用するすべてのハッキング行為に反対し、非難します。悪意を持ってバグを悪用するなども含まれています。
4. Bitgetは、ユーザーを脅迫し、競合他社を攻撃するためのセキュリティー抜け穴の使用に反対し、非難します。
5. Bitgetは、各セキュリティーバグの処理とセキュリティー業界全体の進歩は、すべての関係者の協力と切り離せないと考えています。企業、セキュリティー会社、セキュリティー組織、セキュリティー研究者が「責任あるバグの開示」のプロセスに参加して、安全で健全なインターネットを構築するために協力することが望まれます。
脅威インテリジェンスのフィードバックと処理
[報告段階]
脅威インテリジェンスレポーターは、Bitget脅威インテリジェンス受信メールボックス([email protected])を通じて脅威インテリジェンスをフィードバックします。
[処理段階]
1. 1営業日以内に、Bitget Security Emergency Response Center(BGSRC)スタッフが受け取った脅威インテリジェンスレポートを確認し、フォローアップして問題の評価を開始します(ステータス:審査中)。
2. 3営業日以内に、BGSRCスタッフが問題を処理し、結論とスコアを示します(ステータス:確認済/無視済)。必要に応じて、BGSRCスタッフはレポーターと連絡を取り、確認してレポーターに支援を依頼します。
[修理段階]
1. ビジネスユニットは、脅威インテリジェンスのセキュリティー問題を修正し、アップデートプログラムの公開をスケジュールします(状態:修復済)。修復時間は、問題の重大度と修復の難易度によって異なります。一般的に言えば、24時間以内に深刻かつ高リスクの問題、3営業日以内に中程度のリスク、7営業日以内に低リスクを処理します。クライアントのセキュリティーの問題はバージョンリリースによって制限され、修復時間は実際の状態に基づいて決定されます。
2. 脅威インテリジェンスレポーターは、セキュリティーの問題が修正されているかどうかを確認します(ステータス:確認済/レビュー済の異議)。
[完了段階]
1. BGSRCは、先月の脅威インテリジェンス処理の発表を毎月第1週に発行します。前月の脅威インテリジェンスレポーターは、処理状況に感謝し、発表します。重大または重大な影響の脅威情報は、緊急のセキュリティー発表を個別に発行します。
2. 脅威インテリジェンスレポーターは、ポイントを使用して、セキュリティーポイントを現金またはプラットフォームトークンの交換に引き換えることができます。交換が完了すると、BGSRCは脅威情報リポーターに報いるようになります。時には報酬やオフラインイベントがあります。
脅威インテリジェンススコアリング標準
Bitgetの脅威インテリジェンスには、主にBitgetのビジネスのバグとセキュリティーインテリジェンスが含まれます。以下に、それらのスコアリング基準を個別に説明します。
ビジネスバグスコアリング標準
バグの程度に応じて、深刻度、高、中、低、なしの5つのレベルに分けられます。各レベルの評価は次のとおりです。
[重度]
スコアの範囲は9~10で、セキュリティーポイントの範囲は1080~1200です。
このレベルには以下が含まれます。
1. バグへの直接アクセス(サーバー許可、重要な製品クライアント許可)。リモートの任意のコマンド実行、ウェブシェルのアップロード、悪用可能なリモートバッファオーバーフロー、利用可能なActiveXスタックオーバーフロー、利用可能なブラウザーの「空き時間使用」のバグ、リモートカーネルコードによる悪用可能な悪用、およびその他の悪用可能なリモートコード実行のバグが含まれますが、これらに限定されません論理的な問題です。
2. 深刻な情報開示に直接つながるバグ。重要なDBのSQLインジェクションのバグが含まれますが、これに限定されません。
3. 深刻な影響を直接引き起こす論理的な バグです。メッセージのバグを送信するための任意のIDの偽造、ユーザーのバグ、アカウントパスワードの変更のバグに対するTIPSへのID爆弾の偽造が含まれますが、これらに限定されません。
[高]
スコア範囲6~8、セキュリティーポイント範囲360~480(交換セキュリティーポイント係数:Web /サーバー60; PC c /モバイル端末60)
このレベルには以下が含まれます。
1. ユーザーID情報を直接盗むことができるバグです。重要なサービス(Bitgetマスターなど)のキーページのストレージXSSバグ、一般的なサイトのSQLインジェクションバグを含まれます。
2. 踏み越えアクセスです。機密管理のバックグラウンドログインが含まれますが、これに限定されません。
3. 高リスクの情報開示のバグ。直接使用可能な機密データリークが含まれますが、これに限定されません。
4. ローカルの任意のコードの実行。ローカルで利用可能なスタックオーバーフロー、UAF、ダブルフリー、フォーマット文字列、ローカル権限、ファイル関連のDLLハイジャック(存在しないDLLファイルのロードおよび通常のD LL未チェックの正当性のロードを除く)、およびその他のネイティブコード実行を含むが、ロジックの問題によるバグこれらに限定されません。
5. クライアントのアクセス許可を直接取得するバグです。リモートの任意のコマンド実行、リモートバッファオーバーフロー、利用可能なActiveXスタックオーバーフロー、ブラウザーの解放後のバグ、リモートカーネルコード実行のバグ、および論理的な問題に起因するその他のリモートコード実行のバグが含まれますが、これらに限定されません。
6. 機密情報を受信したり、機密操作を実行したりする重要なクライアント製品のXSSバグ。
[中]
スコア範囲3~5、セキュリティーポイント範囲45~75(交換セキュリティーポイント係数:Web /サーバー15; PC c /モバイル端末15)
このレベルには以下が含まれます。
1. ユーザーID情報を取得するために相互作用を必要とするバグです。反射型XSS(反射型DOM-X SSを含む)、JSONHijacking、重要な機密操作用のCSRF、一般サービス用のストレージXSSなどを含まれます。
2. リモートアプリケーションのサービス拒否のバグ、機密情報の開示、カーネルのサービス拒否のバグ、機密情報を取得したり機密操作を実行したりできるクライアント製品のXSSバグを含まれます。
3. 一般的な情報漏えいのバグです。クライアントプレーンテキストストレージパスワード、機密情報を含むソースコード圧縮パッケージリークが含まれますが、これらに限定されません。
[低]
スコア範囲1~2、セキュリティーポイント範囲9~18(交換セキュリティーポイント係数:Web /サーバー9; PC c /モバイル端末9)
このレベルには以下が含まれます。
1. ユーザーID情報のバグは、特定の人気のないブラウザー環境(IE6など)でのみ取得できます。反射型XSS(反射型DOM-XSSを含む)、一般サービス用のストレージXSSなどが含まれますが、これらに限定されません。
2. マイナー情報開示のバグです。パスリーク、SVNファイルリーク、phpinfo、logcatの機密情報のリークが含まれますが、これらに限定されません。
3. PCクライアントおよびモバイルクライアントのローカルサービス拒否のバグです。コンポーネントのアクセス許可に起因するローカルのサービス拒否のバグが含まれますが、これに限定されません。
4. 不正アクセスです。クライアントのプロアクティブな防御のバイパス、Bitget URLジャンプのバグ、およびBitget悪意のあるURL検出メカニズムをバイパスするサードパーティURLホップが含まれますが、これらに限定されません(注:通常のWebサイトへのジャンプはジャンプのバグではありません)。
5. 悪用するのは難しいが、潜在的な安全上の危険をもたらす可能性のある問題。伝播と悪用を引き起こす可能性のあるSelf-XS S、重要でない機密操作、CSRF、および中間者攻撃を必要とし、効果的なP oCを提供するリモートコード実行のバグが含まれますが、これらに限定されません。
[なし]
スコア範囲0(交換セキュリティーポイント係数:Web /サーバー0; PC c /モバイル端末0)
このレベルには以下が含まれます。
1. 関連のないセキュリティーバグです。文字化けしたWebページを含むが、これらに限定されないため、Webページを開くことができず、機能を使用できません。
2. 悪用できない「バグ」です。これには、意味のないスキャナーバグレポート(WebServerの下位バージョンなど)、Self-XSS、機密情報のないJSONハイジャック、機密操作のないCSRF(お気に入り、ショッピングカートの追加、重要でないサービス、重要でないビジネスの通常の個人データの変更など)、無意味なソースコードの漏洩、イントラネットIPアドレス/ドメイン名の漏洩、401基本認証フィッシング、プログラムパスの信頼の問題、機密情報のないlogcat情報の漏洩。
3. 推測の証拠はありません。
4. Bitgetに関して以外のビジネスのバグです。
評価標準
以下のようです。
セキュリティインテリジェンススコアリング標準
セキュリティインテリジェンスとは、Bitgetの製品とビジネスのバグに関連する情報を指します。これには、バグキュー、攻撃キュー、攻撃関連情報、攻撃方法、攻撃技術が含まれますが、これらに限定されません。
提供された危険と情報によると、詳細なスコアリング基準は次のとおりです。
スコアリング標準の一般原則
1. スコアリング基準は、Bitget製品およびサービスに影響する脅威インテリジェンスのみを対象としています。ドメイン名には* .bitget.comが含まれますが、これに限定されません。サーバーにはBitgetが操作するサーバーが含まれ、製品はBitgetがリリースするクライアント製品です。 Bitgetビジネスセキュリティーに影響を与えない脅威インテリジェンスは考慮されません。
2. 重要なクライアント製品は、Bitgetクライアント製品です。
3. BitgetまたはBitgetオープンプラットフォームのサードパーティアプリ脅威インテリジェンスによって直接リリースされていない製品およびサービスについては、スコアは付けられません。
4. サードパーティライブラリ(libpng、zlib、libjpegなど)に起因するクライアントのバグ(PCおよびモバイルを含む)、およびサードパーティライブラリのアップグレードまたは置換によって修正できるバグについては、最初のバグレポーターが採点されます。同時に、BGSRCによって取得された最初のバグのフィードバック時刻から、サードパーティの最初の修正バージョンがリリースされた日付まで、同じタイプの バグが1つのバグとして記録されます。危険レベルは最も有害なバグによって評価されます。
5. Webkit uxss、コード実行などのモバイル端末システムに起因する汎用バグの場合、最初のバグレポーターのみがスコアリングされ、他の製品の同じバグレポートは個別にスコアリングされなくなりました。
6. クライアントのバグ監査は複雑であり、他の開発部門が関与するため、監査時間はWEBバグよりも長くなる場合があります。レポーターによって提供されたバグの詳細が十分に詳細ではない場合があり、それによりBGSRCは元の時間内に結論を出すことができなくなる可能性があります。これを理解してください。したがって、フィードバックのバグが提供される場合は、poc / exploitを提供し、対応するバグ分析を提供して管理者の処理を高速化してください。提供されていないか、POCやエクスプロイトによって詳細に分析されていないバグの提出は、評価に直接影響する可能性があります。
7. 同じ期間内に同じクライアントに複数のバグが送信された場合、バグの原因となったキーコードを明確に特定し、バグをトリガーして同じバグかどうかをすばやく確認し、バグの確認を高速化してください。
8. サードパーティの一般的なバグから生じるセキュリティーの問題は、一般的なバグ賞の基準に基づいています。
9. 脅威インテリジェンスレポーターがセキュリティー問題をレビューするとき、セキュリティー問題が持続するか修正されないことがわかった場合、新しい脅威インテリジェンスとしてスコアを付け続けます。
10. 同じ脅威情報、最初のレポーターのスコア、他のレポーターはスコアしません。提出された脅威情報は記録されません。
11. 実際の損傷の証拠なしにスキャナーの結果を拒否します。
12. セキュリティーテストを口実として使用して、インテリジェンス情報を使用してユーザーの利益を損ない、ビジネスの通常の運用に影響を与え、修復前に公開し、ユーザーからデータを盗むなどは考慮されません。さらに法的措置を取る権利を留保します。
報酬原則
[通常報酬]
1. 賞品はセキュリティーポイント(BGSRCの暗号通貨)を使用して交換されます。セキュリティーポイントの数は、脅威インテリジェンスのスコアに対応するハザードレベル係数を掛けたものです。ハザード評価係数は、「脅威インテリジェンススコアリング基準」セクションを参照してください。係数は実際の状況に応じて調整され、各調整が発表されます。複数の脅威インテリジェンスによって生成されたセキュリティーポイントは蓄積できます。特に明記しない限り、未使用のセキュリティーポイントは期限切れになりません。
2. Vulnerability Reward Processing Standardを解釈する権利は、Bitget Security Departmentが所有しています。
論争の解決
脅威インテリジェンス処理のプロセスで、レポーターが処理フロー、脅威インテリジェンス評価、脅威インテリジェンススコアなどに異議を唱えている場合は、現在の脅威インテリジェンスメールボックスを通じて時間内に連絡してください。 Bitget Security Emergency Response Centerは、脅威インテリジェンスレポーターの優先順位を処理し、必要に応じて、共同で決定する外部関係者を紹介します。
よくある質問
Q:BGSRCの1つのセキュリティーポイントはいくらですか?
A:業界賞の基準によると、現在のBGSRC 1セキュリティーポイントは約5RMBに相当します。
Q:Bitgetが脅威インテリジェンスフィードバックを受け取った後の脅威情報は公開されますか?
A:ユーザーの利益を保護するために、脅威インテリジェンスフィードバックのセキュリティー問題が修正されるまで、脅威情報は公開されません。セキュリティー問題が修正された後、脅威インテリジェンスレポーターはそれを公開できます。 BGSRCは、脅威インテリジェンスレポーターが脅威インテリジェンス関連の技術を分類および要約し、技術記事の形式で公開することを推奨します。
Q:BGSRCと他のセキュリティーグループの関係は何ですか?
A:Bitgetセキュリティーは、業界のサポートと支援から切り離せません。 BGSRCは、セキュリティー業界の健全な発展を促進するために、さまざまなセキュリティーグループと協力していく所存です。現在、BGSRCはいくつかのセキュリティーグループと協力しており、今後さらに協力していく予定です。
Q:Bitgetは最初にバグを「無視」し、それからひそかに修正しますか?
A:もちろんありません。提出された「バグ」が「無視」状態になると、同僚とのフォローアップは理由を残します。よくあることとして、この「バグ」はバグとは見なされず、バグとして評価されます。 BGSRCは、関連する製品の同僚のみを知っています。この「バグ」を変更するかどうかは、製品の同僚によって決定されます。もう1つの状況は、ビジネス自体の変化であり、「バグ」の消滅を引き起こしています。ただし、Bitgetは「スニークフィックス」を行いません。
Bitgetチーム
Bitget Japan 公式チャンネル