OpenHarmony安全漏洞奖励计划

发布时间：2023年9月23日

基本原则

OpenHarmony社区非常重视社区软件版本的安全性，社区安全问题的来源包括安全问题例行扫描、内部安全研究以及外部上报安全问题。OpenHarmony社区发布安全漏洞奖励计划项目，鼓励安全漏洞研究人员和行业组织主动将OpenHarmony社区的疑似安全漏洞通过加密邮件方式（bugbounty@mail.openharmony.io, PGP公钥地址）报告给OpenHarmony社区安全响应工作组。OpenHarmony社区安全响应工作组会快速响应、分析、验证和解决上报的安全问题或安全漏洞。

奖励计划范围

支持社区最新OpenHarmony Release版本或LTS版本的OpenHarmony标准系统（standard system）、小型系统（small system）和轻量系统（mini system）硬件设备。

安全漏洞评分标准

针对OpenHarmony单设备场景，根据漏洞的危害程度将其分为【严重】、【高】、【中】、【低】四个等级。

安全漏洞奖励方案

注：奖励金额取决于安全漏洞的严重程度和报告的质量，最终奖励由OpenHarmony社区安全响应工作组决定，具体取决于以下因素（包括但不限于）：

1. 漏洞报告详细程度，按照本计划“报告要求”上报，至少包括漏洞描述、利用方法描述、攻击代码。

2. 初始攻击路径（远程（0-click, 1-click）或者本地）。

3. 攻击代码是否设备、软件版本强相关，或者攻击代码可以在所有设备和软件版本上执行。

4. 攻击过程对用户的感知度。

5. 攻击代码的稳定性。

6. 攻击代码是否适用最新LTS稳定版本中执行。

7. 综合系统类型及其加固方案、缓解措施等因素，酌情考虑。

​ * 通过合成生物识别数据（包括不限于指纹，假冒面具等）导致的锁屏绕过不在奖励计划范围。

无效漏洞

• 没有安全影响的软件功能性错误。
• 所涉及漏洞在利用过程中依靠在内容上欺骗用户（例如钓鱼、诱导点击等）配合交互，我们不会对需要此类利用场景的漏洞进行奖励。
• 不仅影响OpenHarmony社区（包括不限于协议，第三方开源软件等）的漏洞，建议您提交给对应渠道（对OpenHarmony社区影响较大的漏洞可例外评估）。
• 在上报OpenHarmony社区之前，该漏洞的技术细节（如：POC等信息）已经公开，包括但不限于网站、自媒体、邮件组、公开演讲、即时聊天群等，此类漏洞无法参与漏洞奖励计划。
• 多人或同一人提交重复的漏洞的场景，第一个提交的漏洞报告被视为有效，其他被视为不符合资格。
• 当涉及的漏洞需要依赖某些权限才可被成功利用并造成影响，而该权限本身就可以造成同样效果，这样的情况我们不会进行奖励。
• 相关问题仅能通过本地触发导致应用临时拒绝服务的场景。
• 其他应属于无效漏洞的场景。

报告要求

安全漏洞报告应该包含针对安全漏洞问题的详细描述和完整的PoC，若存在完整的Exploit或修复代码也可提供。

详尽的问题描述包括：

• 受影响组件的详细版本信息。
• 具体组件或模块中发送的问题或现象的描述。
• 具体组件或模块中存在问题的具体代码逻辑的详细解释，通常可由反编译代码、反汇编代码或开源代码等辅以一定的文字描述组成。
• 描述复现所需的完整步骤：如复现需要多个步骤配合操作或必须使用特定环境，请以恢复出厂设置后的环境开始描述复现步骤。

完整的PoC或Exploit要求：

• 完整可编译的代码：包括所有源码、依赖库、编译配置文件。
• 编译和运行环境构建的说明：包括标准编译环境或构建特殊环境的说明，如需要特殊编译环境、编译选项、特殊运行环境。
• PoC或者Exploit的结果表现应该与报告描述中保持一致。
• 对于拥有结构定义的PoC或者Exploit，请附加对应的结构描述信息和构造说明，解释其中触发安全漏洞的字段构成和含义。
• PoC和Exploit不应侵犯任何第三方知识产权。例如，不应包含未经第三方权利人授权的图标等知识产权素材。
• PoC和Exploit中不应包含宗教或法律所禁止的内容。

修复和缓解代码（可选）：

• 包含修复方案的详细解释和实际可被使用的补丁代码。

术语说明

远程：指在不安装应用或不实际接触设备的情况下利用漏洞实施攻击，包括通过网页浏览、阅读短信彩信、收发邮件、文件下载、无线网络通信等方式。

本地：指利用漏洞实施攻击需要在受害系统中安装应用，或者需要物理接触设备。

TCB：TCB是Trusted Computing Base的简称，指的是计算机内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算机系统所要求的附加用户服务，包括但不限于部分内核及驱动程序，或者等同于内核的用户服务，例如init、vold等。

特权进程：在SELinux的system_app域中运行的应用或进程；以system级别的权限运行的进程或root进程。

普通应用进程：第三方应用进程或内置的无system级别权限的应用进程。

受限进程：比普通应用进程受到更严格的权限约束。

测试过程中的禁止行为

• 未经授权访问、下载、修改或删除不属于自己的数据，仅允许通过POC证明问题存在；

• 禁止发起网络钓鱼或者社会工程学攻击；

• 不得为任何非法目的而使用安全漏洞及安全漏洞相关信息，不得从事以下活动：

  1. 未经允许进入计算机信息网络或者使用计算机信息网络资源；

  2. 未经允许，对计算机信息网络功能进行删除、修改或者增加；

  3. 未经允许，对进入计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加；

  4. 故意制作、传播计算机病毒等破坏性程序；

  5. 未经允许，进入计算机信息网络中获取相关网站系统以及平台中储存的数据；

  6. 其他危害计算机信息网络安全的行为；

如因上述行为给OpenHarmony社区造成任何损失的，您应承担全部赔偿责任。因您上述行为违反法律法规相关规定的，您应独自承担相应的法律后果。

参与人限制

OpenHarmony社区安全问题响应组成员及相关项目维护者（maintainer）和审核者（committer）不得参与该安全漏洞奖励计划。

声明

1. 在安全漏洞未修复前，我们希望您不要公开和传播。我们承诺：对每一份报告，都会有专门的安全人员进行评审、跟进并及时反馈最新的处理结果，并且我们会按照“安全漏洞奖励方案”对您的付出表示感谢。

2. 我们鼓励采用合法合规的方式测试安全漏洞。对于利用安全漏洞损害用户利益、影响业务运营、盗取用户数据、恶意传播安全漏洞或数据等涉嫌违反法律、行政法规规定或违反OpenHarmony社区管理规定、网站协议等的违法违规行为，OpenHarmony社区均将保留追究法律责任的权利。

生效与修改

本计划自发布之日起正式生效。OpenHarmony社区安全问题响应组可能会对计划内容进行不定期修改，我们将通过在OpenHarmony官方网站重新发布更新版本的方式向您通知修改内容。除非另有说明，更新版本自发布之日起正式生效。

如您对以上相关内容有任何意见或建议，请您联系bugbounty@mail.openharmony.io