漏洞通报平台(地址:https://infosec.xjtu.edu.cn/src/ )是通过征集白帽黑客提交的漏洞信息,实现以众测方式对校园信息系统进行不间断安全审计的支撑系统。漏洞通报平台实现了统一管理漏洞信息的记录、流程化的审核和处置工作,建立完善的规范化漏洞管理机制。用户提交漏洞信息可以采用文字、图片、附件等方式,漏洞处置过程采用积分制,通过积分排行榜展示漏洞情况。
漏洞通报平台主要特色有:
1、漏洞众测
漏洞平台向各网络安全公司和校内有能力和兴趣的同学开放。最大限度的争取社会资源提升学校信息系统安全审计水平。同时也有助于为有能力的同学提供一个学习和锻炼网络安全实战能力的训练场。
2、漏洞管理
漏洞管理即对用户提交的漏洞信息进行管理,可进行编辑漏洞信息,审核时关联相关部门并打分,处置过程中可以直接生成链接分享给相关人员,以及漏洞修复后的复审。
3、用户管理
为了提高漏洞平台的信息安全级别,用户采用邀请码的方式注册,并能够对用户进行一键禁用。根据用户提交漏洞信息的贡献度或使用过程中的不良行为可以对用户进行金币奖惩。平台所有用户前台匿名,后台实名,既保护了白帽黑客的隐私,也确保了漏洞收集过程安全可控。
4、漏洞处置跟踪
漏洞提交之后,管理员审核漏洞和漏洞处置过程中所有操作都可以在日志管理中进行回溯。漏洞处置各重要节点均有记录,形成完备的处置台账。
5、排行榜
漏洞信息在审核过程中,根据提交的漏洞危害度给予贡献者积分奖励,同时根据漏洞信息获取承担修复漏洞的部门给予威胁值。根据积分值对用户和团体组织进行排行,根据威胁值对建设单位和校内部门进行排行,直观展示各方的贡献值和威胁值。