近日,CarSRC收到白帽子Condom提交的某主站getshell的漏洞。经审核团队判定,该漏洞为一般严重漏洞,给予了36分,对此,Condom对本次漏洞的业务评级及积分表示异议。
首先,感谢这位白帽子Condom对我们CarSRC的支持与信任。其次,CarSRC于第一时间,特聘四位权威专家顾问,作为CarSRC外部专家团,对本次漏洞业务的评级与积分进行讨论、共同裁定。
四位专家分别为:
龚蔚(goodwell):中国信息安全届的最顶级前辈,绿色兵团创始人
胡珀(lakehu)
:中国SRC模式的缔造者,国内第一个SRC,TSRC的创始人
周景平(heige):中国信息安全届顶级大佬,知道创宇CSO,404实验室负责人,微软安全致谢榜前列
柴浩(残废):白帽子代表
经四位特聘专家的评审,以及CarSRC内部的讨论,漏洞评审结果如下:
在此事件中,我们秉持着“白帽子利益优先”的原则,在讨论中,与专家顾问保持理性交流的态度,慎重评定,达成一致。以下是讨论的部分内容。
对于此次事件,我们接受来自各方的批评与指正,不断成长,也认识到合理机制保障的重要性,后期将予以完善。由此,CarSRC特聘这四位专家顾问,参与CarSRC的漏洞业务评级及积分审核工作。
CarSRC的原则是白帽子利益优先,我们会认真对待每一个漏洞。SRC(安全应急响应中心)的设立是用于对外接收来自用户或安全专家发现并报告的安全漏洞、安全情报和安全事件。承载着对外发布企业突发安全事件处理动态、企业信息安全团队研究成果的重任,并作为企业与安全人员沟通反馈的桥梁。
CarSRC即汽车产业网络安全空间应急响应中心,旨在“连接·联合 保护你的每一次出行”。我们致力于连接安全专家和汽车厂家,并在政府主管部门的指导下,联合安全专家、安全厂商及汽车厂家的力量,为汽车产业网络空间安全保障工作做出努力。从互联网服务网站、移动应用安全,车机端安全,车辆制造系统安全,保障我们的安全出行。
银基安全也将全力支持与配合CarSRC在安全应急响应的工作,共同建设良好的网络空间,成为建设安全领域的主力军。
