选择你喜欢的标签
我们会为你匹配适合你的网址导航

    确认 跳过

    跳过将删除所有初始化信息

    白帽自律委员会行为准则规范V1.0

    安全 2020-11-25 16:33

    声明:该文章由作者(ksbugs)发表,转载此文章须经作者同意并请附上出处(0XUCN)及本页链接。。

    第一章 总则

    第一条 为更加有效、规范的协调网络尖刀成员与各厂商安全应急响应平台(以下简称“SRC”)的合作,建立更对等的互动关系,参考过往几年团队成员与各SRC平台之间出现的诸多争议,在漏洞价值、危害性影响、及安全评级方面无法达成一致等问题,结合当前实际团队与各SRC的沟通情况,为了更好的推进日后的合作减少不必要的争议及误会,网络尖刀安全团队正式推出“白帽自律委员会”,同时制定本规则。

    第二条 白帽自律委员会委员由网络尖刀团队联合创始人、团队核心成员、其它合作安全团队创始人多方组成,目前已与“ChaMd5”团队建立互信,共同维护此规则。

    白帽自律委员系自发性虚拟组织,不会也无法约束信息安全行业整体安全从业者,只对参与互信互认的成员组织或团队进行规范及约束,目前仅网络尖刀及ChaMd5团队成员适用于此规则。

    第二章 组织结构

    第三条 白帽自律委员组长采用轮岗制制度,由各团队创始人及联合创始人轮流担任,任期六个月,规则设立与撤销由白帽自律委员会成员投票制表决。

    第四条 担任白帽自律委员会组长应符合下列条件: 

    1. 具备正确社会价值观,有较强的责任心和奉献精神;
    2. 热爱信息安全工作,关心信息安全行业发展,且目前从事本行业;
    3. 恪守底线,遵守职业道德和法律法规规范,无行政和行业处罚记录;
    4. 必须为安全从业者身份,不得在SRC厂商担任职务;

    第五条 首届“白帽自律委员会”组长由“曲子龙”担任,副组长由“M”担任。

    第三章 工作职责

    第六条 白帽自律委员会的工作职责:

    1. 根据自律委员会工作需要,对规章、规则的制定提出建议,积极推动自律委员会发展,审核并发展各组织及厂商成为委员会成员,共同维护并遵守此准则。
    2. 监督、协调各自律委员会成员认可并遵守白帽自律委员成员规则,对违反准则成员或厂商单位进行及时处理;

    第四章 工作方法及程序

    第七条 根据实际情况需要,当组织内团队成员与SRC在漏洞存在争议性问题时,协调双方开启认定投票,输出投票结果以“参考建议”的方式同步至相关合作平台作为沟通建议。

    第八条 投票程序应当遵循以下规范:

    1. 发起投票白帽及厂商对接人,必须根据实际情况进行“漏洞自述”,自述中可以包含漏洞方式方法(漏洞或情报类型)、漏洞影响大致范围(涉及资产数、用户数,是否为核心业务等),以便参与投票委员会成员更好的了解实际情况,行使更加公正的投票权;
    2. “漏洞自述”应严格遵循漏洞保密规则,自述仅需表明漏洞类型、是否为“核心业务”、漏洞影响范围等常规信息,不得涉及厂商敏感信息;
    3. 无论最终结果如何,自律委员会一方不得通过任何方式泄露该评估内容,严格做到保密义务,恪守成员行为准则。

    第九条 白帽自律委员会仅受理自律委员会成员组织发起的投票申请,非加入自律委员会的安全组织或白帽个体不在投票范围。

    第五章 争议解决

    第十条 发起投票程序双方应积极遵守自律委员会行为准则,尊重并认可最终投票结果,如产生争议则由白帽自律委员会组长进行最终投票解释及沟通。

    第十一条 对于“拒绝认可并履行投票结果”或“不诚信厂商或白帽个体”,白帽自律委员会将根据实际情况采取公开拒绝合作或取缔成员资格等方式进行处理。

    第六章 准入方式

    第十二条 白帽自律委员会接纳安全团队及SRC厂商加入,但需遵循加入准则。

    第十三条 安全团队责任与义务:

    1. 加入白帽自律委员会必须提供团队完整成员名单,并选取一名创始人,不高于两名联合创始人加入自律委员会,加入后获得投票权;
    2. 自律委员会成员必须恪守底线,遵守职业道德和法律法规规范,无行政和行业处罚记录,不得在SRC平台担任职务,欺瞒或后期核实发现则取缔整个团队资格,并公示;
    3. 加入前必须确保团队全体成员严格恪守并尊重白帽自律委员会准则,团队成员遇到判罚机制时必须认真履行;
    4. 加入后需通过官方公众号、官方网站或微博等社交媒体,公开承认并认可加入自律委员会;

    第十四条 SRC厂商责任与义务:

    1. 申请加入自律委员会厂商,平台必须具备团队功能,且目前已有参与自律委员会安全团队方成员超过10人以上的入驻;
    2. 加入白帽自律委员会需由当前SRC负责人直接申请加入,SRC负责人可以指派对接人负责日常事务,但严重争议解决必须由SRC负责人直接沟通解决;
    3. 出于“竞争性”综合考虑,SRC负责人仅可以发起“漏洞争议投票程序”,直接与白帽自律委员会组长对接,但无法行使投票权,也无权知道其它SRC平台争议问题,且不参与投票;
    4. 加入前必须与所在公司进行有效沟通,承诺恪守并尊重白帽自律委员会准则,尊重投票结果并认真履行;
    5. 加入后需通过官方公众号、官方网站或微博等社交媒体,公开承认并认可加入自律委员会;

    第十五条 白帽自律委员会不受理公开终止及被标注“不诚信”厂商或白帽个体的加入请求,同时因无法确定争议主体,众测平台及第三方漏洞平台也不在准入范围内。

    第七章 附则

    第十六条 自律委员会成员及加入单位会在本制度推行后的月内进行公示。

    第十七条 行为准则的修改,必须有全体自律委员会成员的三分之二以上(含本数)参与表决,并经自律委员会成员的三分之二以上(含本数)通过。


    本规则解释权归白帽自律委员会。


    白帽自律委员会

    2020年11月25日


    关注我们

    [超站]友情链接:

    四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
    关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/

    图库