《Soul安全应急响应中心漏洞处理和评分标准》（置顶）

适用范围

本标准适用于SOUL安全应急响应中心“SoulSRC”https://security.soulapp.cn/）所收到的所有情报。

实施日期：本标准自2021年10月10日起施行。

基本原则

1）SOUL非常重视自身产品和业务的安全问题，我们承诺，对每一位SoulSRC平台用户反馈的问题都有专人进行跟进、分析和处理，并及时给予答复。

2）SOUL在处理SoulSRC平台用户反馈的问题时可能需要用户提供必要的帮助，譬如，为了有效地处理及跟进问题，SOUL可能需要报告者协助一同复现问题。SOUL反对和谴责在提交反馈报告后一切遮掩漏洞细节或抗拒协助的消极行为。对于提交SOUL认可的高质量报告并在报告、反馈和积极响应跟进等过程中提供有效帮助的SoulSRC平台用户，SOUL也会酌情给予相应的奖励。

3）SOUL鼓励并支持负责任的漏洞披露并且协助SOUL处理漏洞的SoulSRC平台用户，我们承诺，对于每位恪守“白帽子”精神，保护用户利益，帮助SOUL提升安全质量的SoulSRC平台用户，我们将给予感谢和合理的回馈。

4）SOUL反对和谴责一切以漏洞测试为借口，利用安全漏洞进行破坏、损害用户利益和SOUL平台利益的黑客行为，包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、恶意传播漏洞等。

5）SOUL反对和谴责一切利用安全漏洞恐吓用户、攻击SOUL平台系统或竞争对手的行为。

6）SOUL认为每个安全漏洞的处理和整个网络安全行业的进步，都离不开各方的共同合作。希望企业、安全公司、安全组织、安全研究者一起加入到“负责任的漏洞披露”过程中来，一起为建设安全健康的互联网环境而努力。

SoulSRC针对不同产品范围的安全报告构建起SoulSRC安全币体系，并根据该体系作为主要参考为符合条件的SoulSRC平台用户提供奖励。计算公式：单个漏洞安全币=积分*贡献系数，具体的贡献系数由SoulSRC根据实际情况进行认定。举例说明：依据该体系，当SoulSRC平台用户提供一个核心产品(见上述核心产品范围述)的严重漏洞并获得SoulSRC平台最终确认时，该用户将可能获得至少9*60=540的安全币奖励。具体情况详见下表：

1个安全币价值人民币10元，所以对应的现金奖励范围如下：

具体细则参见：https://security.soulapp.cn/Public/Uploads/Soul安全中心漏洞处理和评分标准.pdf