应用安全评分
为了提升保障平台消费者的信息安全、提升服务商应用的安全性,给卖家提供选择更加安全的服务产品参考。开放者控制台将展现所有IT 类应用(如ERP、进销存、CRM、订单处理等)的应用安全评分。应用安全评分是体现服务商应用安全状态的一个动态评分,此评分在控制台的应用详情页里的安全中心进行展示。
一、术语定义
1、漏洞:漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。京东安全部门会对服务商的应用进行安全漏洞扫描,扫描过程中出现的漏洞会根据风险程度进行分级;
2、事件:因为服务商的自身问题产生的安全事故,如账号被盗、数据泄露等,并因为安全事故产生了不良影响和损失;京东对事件按照严重程度进行了分级。
3、安全规范:服务商的服务应用在开发、部署、运营和管理中需要遵守的安全规范;并根据违反安全规范有可能造成的结果严重程度进行分级。
具体规则定义参考:https://open.jd.com/home/home#/doc/common?listId=562
二、安全评分规则
1、所有IT类应用最高评分为5.0分(满分),初始统一评分为3.5分;
2、安全评分规则一:
2.1 评分规则:从应用出现漏洞/事件/安全规范之日起,依据危害程度(风险等级)执行减分,在原有评分的基础上,按天进行累计减分,具体执行规则如下;
| 风险等级 | 减分规则 | 起止时间 | 备注 |
| 漏洞:高危 事件:特大 | 减0.2分/天 | 从发生事件之日起至确认修复完成之日截止 |
|
| 漏洞:中危 事件:重大 | 减0.1分/天 | 从发生事件之日起至确认修复完成之日截止 |
|
| 漏洞:低危 事件:严重 | 减0.05分/天 | 从出现超过24小时未修复的安全漏洞之日起至所有漏洞确认修复完成之日截止 |
|
2.2 安全评分恢复规则
从安全事件/安全漏洞确认修复(根据京东判断)之日起,开始自动恢复安全评分,恢复速度是减分速度一半(比如减分是每天0.2分,恢复是每天0.1分);每个应用的累计恢复分值小于等于累计减分分值;
3、安全评分规则二:
3.1 评分规则:从应用出现“安全规范”之日起,依据危害程度(风险等级)执行减分,在原有评分的基础上,按次减分,具体执行规则如下;
| 风险等级 | 减分规则 | 起止时间 | 备注 |
| 安全规范:高 | 减0.2分/次 | 从发生事件之日起至确认修复完成之日截止 |
|
| 安全规范:中 | 减0.1分/次 | 从发生事件之日起至确认修复完成之日截止 |
|
| 安全规范:低 | 减0.05分/次 | 从出现超过24小时未修复的安全漏洞之日起至所有漏洞确认修复完成之日截止 |
|
3.2 安全评分恢复规则
从“安全规范”的评分项确认修复(根据京东判断)之日起,开始自动恢复安全评分,对应用安全评分增加已被扣分数;每个应用的累计恢复分值小于等于单项被扣分值;
三、Q&A
安全评分举例:如应用A(APPKEY:12345678)当前安全评分为4.0分,于12月1日出现安全漏洞,该漏洞风险等级认定为中级,即从12月1日起,每天扣0.1分,则在12月2日应用详安全评分为 3.9分 (4.0-0.1=3.9); 如果该服务商截止12月3日修复整改完成,则这期间累计减0.3分,最终安全评分为3.7分;评分自动恢复将从12月4日开始,每天恢复0.05分。
如有疑问,请提交到支持中心!