openGauss安全应急响应中心

是一款高性能、高安全、高可靠的企业级开源关系型数据库

提交漏洞

openGauss漏洞奖励计划测试规则v1.0

漏洞评分标准
漏洞级别参考CVSS (全称Common Vulnerability Scoring System,即“通用漏洞评分系统”)的漏洞定级评分系统。

在线打分参考
https://www.first.org/cvss/calculator/3.1
https://www.vulbox.com/cvss

漏洞提交方式
通过加密邮件,以报告的形式提交至openGauss安全委员会(securities@opengauss.org, PGP公钥地址:https://opengauss.org/public-key/openGauss_0x912AD1B8_public.asc)。

报告格式
报告中应含有以下内容:
基本信息:包括漏洞影响的模块、漏洞的触发条件和成功利用后对系统的影响等。
技术细节:包括系统配置、定位方法、Exploit的描述、POC、问题重现方法和步骤等。

修复方案建议
具体请参考openGauss官网漏洞上报内容(https://opengauss.org/zh/security.html)要求。

漏洞奖励
奖励基于每个漏洞的严重性级别。
多个研究者重复上报的漏洞,只有第一位上报漏洞的研究者会被给予奖励;奖励金额最终由openGauss安全委员会决定。
推广期额外奖励(不区分漏洞级别):
a) 第一个漏洞奖金翻倍
b) 前十个漏洞每个漏洞额外奖励¥2000

测试过程中的禁止行为
a) 非授权访问、下载、修改或删除不属于自己的数据,仅允许通过POC证明问题存在;
b) 禁止发起网络钓鱼或者社会工程学攻击;
c) 不得为任何非法目的而使用漏洞及漏洞相关信息,不得从事以下活动:
1) 未经允许进入计算机信息网络或者使用计算机信息网络资源;
2) 未经允许,对计算机信息网络功能进行删除、修改或者增加;
3) 未经允许,对进入计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
4) 故意制作、传播计算机病毒等破坏性程序;
5) 未经允许,进入计算机信息网络中获取相关网站系统以及平台中储存的数据;
6) 其他危害计算机信息网络安全的行为;
7) 如因上述行为给openGauss造成损失的,您应予赔偿,因您上述行为违反法律的,您将独立承担相应的法律后果。

参与人限制
openGauss安全委员会成员及相关项目维护者(maintainer)和审核者(committer)不得参与该奖励计划。