BiliSRC

Q:在哔哩哔哩威胁情报反馈平台上的威胁情报会公开吗?

为了保护用户利益,在威胁情报反馈的安全问题修复前,威胁情报相关信息均不会公开。
安全问题修复后,威胁情报报告者可以公开。本着“授人以鱼不如授人以渔”的考虑,biliSRC 建议威胁情报报告者将威胁情报相关技术进行归类和总结,以技术文章的方式公开。

Q:BiliSRC 与其他安全团体的关系是如何的?

哔哩哔哩安全离不开业界的支持与帮助,BiliSRC 愿意与各个安全团体深度合作,共同推动安全行业的健康发展。目前 BiliSRC 已经与一些安全厂商展开了合作,未来将有更多合作。

Q:哔哩哔哩威胁情报奖励计划是不是用奖品隐瞒安全问题?

不是。
首先,我们认为,在威胁情报中的安全问题未修复前,为了保护用户利益,威胁情报不应该被公开,这也是业界的通用做法。
其次,哔哩哔哩为威胁情报报告者提供礼品等奖励 是为了表达对威胁情报报告者的感谢和尊重,绝对不是用奖品隐瞒威胁情报中的安全问题。

Q:哔哩哔哩是不是只感谢通过哔哩哔哩威胁情报反馈平台的报告者?

不会。
哔哩哔哩尊重和感谢每一位善意的报告者。哔哩哔哩威胁情报奖励计划目前仅针对哔哩哔哩威胁情报反馈平台和乌云漏洞提交平台(如果乌云还存在的话),对于通过其他渠道反馈的威胁情报,我们会在每月公告中表示感谢。

Q:哔哩哔哩有没有先“忽略”漏洞然后偷偷修复?

绝对不会。
提交的“漏洞”一旦进入“忽略”状态,跟进同事会回复忽略的原因。常见情况是这个“漏洞”不认为是漏洞而被评估为一个 bug,BiliSRC 仅知会相关产品同事,是否更改这个“bug”由产品同事决定;
另外一种情况是业务本身的变动,导致“漏洞” 不复存在。但是不论如何,哔哩哔哩方面都不会“偷偷修复漏洞”。