报告安全问题

Tongsuo目前使用蚂蚁集团提供的漏洞收集渠道来接受第三方漏洞的反馈。可以通过:https://security.alipay.com/ 进行安全漏洞的提交。

漏洞等级

Tongsuo根据漏洞的严重程度和影响范围定义如下几个漏洞等级:

  • 高危漏洞:该等级的漏洞一般较容易被利用,并造成严重损失。例如内存内容泄露、用户机密数据泄露、远程拒绝服务等。
  • 中危漏洞:该等级的漏洞相比高危漏洞具有相对较低的风险,并且不是很容易的被利用。
  • 低危漏洞:该等级的漏洞的风险相对较小,一般不会对生产环境引起重大危害。

漏洞优先披露制度

对于高危和中危漏洞,Tongsuo会优先向特定的群体披露漏洞细节和修复方案,在一段时间后(可能是数天或者数周),再对Tongsuo进行公开修复并公告漏洞详情。这样做是为了防止严重的漏洞对关键互联网应用产生重大影响。上述特定的群体包括:

  • 默认集成了Tongsuo的重要操作系统发行版
  • Tongsuo的重要商业用户
  • 其他Tongsuo技术委员会认为有必要通知的个人或组织