周三大事件JSRC漏洞评分规则6.0出炉啦！

距离上次评分规则的更新已有一年，这一年来，我们将所有收集到的来自白帽子的反馈、争议进行整理分析，不断求取白帽子和同行意见，反复修改。今天，规则6.0终于出炉啦，感谢对此规则给予过建议的朋友，在此要特别感谢Jinone、花生、v清风、Alice对本规则的大力帮助。

下面就和小妹一起看看新版评分规则主要有哪些重要更新吧~

1.积分计算方式

首先一个比较大的更新是漏洞积分的计算方式，新版规则根据涉及数据的敏感程度及业务重要性，按核心、一般、边缘业务分别计算分数，更贴近业务实际场景，计算公式为：漏洞积分 = 基础积分 * 业务的等级系数如下表：

表1  积分范围参考

并且大家可以看到，本次更新将所有业务等级的系数都上调了，因此奖励也是上浮了不少，核心业务单个漏洞最高7500元的奖励！！说的我都心动了，来看看具体的漏洞奖励列表吧：

表2  漏洞价值范围参考（单位：元）

注：同时，我们的特殊漏洞现金奖励计划没有变化，最高50w人民币的现金奖励，等你来拿！

2.漏洞报告打赏

新版评分规则除了在积分计算方式上有所改变，更是新增一个加分项，即：高质量漏洞报告积分奖励

对于漏洞描述详细、报告内容完整、思路清晰的漏洞报告，审核人员将对报告者进行额外奖励（奖励分数范围10-100，即50元—500元的鼓励）

规范书写报告既能锻炼自己的文档能力，又能拿到大于等于1个中危漏洞的奖励，何乐而不为呢~

该项奖励已经实行一段时间，到目前为止已有4位白帽子获得这项奖励：

3.业务范围更新

为了方便大家测试，本次规则对漏洞测试范围进行了更新，不仅补充了web测试范围、还新增了APP和IOT的测试范围：

京东商城：

*.jd.com、*.jd.hk等;

1号店：

*.yhd.com、*.yihaodian.com等;

京东物流

*.jdwl.com 等；

京东海外

*.joybuy.com、*.jd.ru 、*.jd.co.th 、*.jd.id等；

京东医药

*.healthjd.com、*.yiyaojd.com等；

7fresh：

*.7fresh.com等；

京东金融：

*.jr.jd.com、*.baitiao.com、*.jdpay.com、 *.wangyin.com等;

京东云：

*.jcloud.com、*.jdcloud.com 等;

京东App重点关注：

拍拍二手，7Fresh，1号店  ，京东阅读，手机京东，TOPLIFE，京东微联，JD.id（印尼版本），JOYBUY（俄罗斯版本）等

IOT业务范围：

核心产品：叮咚二代、Top 、微联硬件

一般产品：A1/A1X

边缘产品：Q1、Q3、A3

以上，我们依据业务受漏洞影响的重要程度做了业务等级划分，仅为JSRC评分之目的使用

4.漏洞的挂起和复查

在新版评分规则的漏洞反馈和处理流程中

新增了漏洞的挂起阶段，白帽子在提交漏洞时，若有漏洞描述不清晰或者证据不充分导致漏洞无法复现的问题，审核人员会将漏洞设置为挂起状态，以减少误忽略的情况。

漏洞复查阶段，白帽子可对状态为已修复的问题进行复查，若问题仍存在，可再次提交反馈。JSRC已确认的漏洞，3个月后复查若问题仍然存在，无论漏洞当前状态，均可再次提交。（赚钱的法子都写在这里了，别说我没告诉你）

5.其他

除了以上这些大的变化，新规6.0还有以下小改动：

1.高、中、低、无危害漏洞部分内容调整

2. 威胁情报内容及范围更新

3. 威胁情报评分标准更新

4.通用原则条目部分更新

本规则将于下周二即2018.7.24开始实行