为了提升保障平台消费者的信息安全、提升服务商应用的安全性,给卖家提供选择更加安全的服务产品参考。开放者控制台将展现所有IT 类应用(如ERP、进销存、CRM、订单处理等)的应用安全评分。应用安全评分是体现服务商应用安全状态的一个动态评分,此评分在控制台的应用详情页里的安全中心进行展示。
一、术语定义
1、漏洞:漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。京东安全部门会对服务商的应用进行安全漏洞扫描,扫描过程中出现的漏洞会根据风险程度进行分级;
2、事件:因为服务商的自身问题产生的安全事故,如账号被盗、数据泄露等,并因为安全事故产生了不良影响和损失;京东对事件按照严重程度进行了分级。
3、安全规范:服务商的服务应用在开发、部署、运营和管理中需要遵守的安全规范;并根据违反安全规范有可能造成的结果严重程度进行分级。具体规则定义参考:https://open.jd.com/home/home#/doc/common?listId=562
二、安全评分规则
1、所有IT类应用最高评分为5.0分(满分),初始统一评分为3.5分;
2、安全评分规则一:
2.1 评分规则:从应用出现漏洞/事件之日起,漏洞类安全评分项系统会按各风险等级的起止时间给与一定的修复日期,当超过缓冲日期未修复后,则依据风险等级开始执行减分,在原有评分的基础上,按天进行累计减分,具体执行规则如下;
风险等级 | 减分规则 | 起止时间 |
漏洞:高危 事件:特大 | 减0.2分/天 | 1、漏洞类:从发现漏洞超过1天未修复之日起至确认修复完成之日截止 2、事件类:从发生事件之日起至确认修复完成之日截止 |
漏洞:中危 事件:重大 | 减0.1分/天 | 1、漏洞类:从发现漏洞超过7天未修复之日起至确认修复完成之日截止 2、事件类:从发生事件之日起至确认修复完成之日截止 |
漏洞:低危 事件:严重 | 减0.05分/天 | 1、漏洞类:从发现漏洞超过14天未修复之日起至确认修复完成之日截止 2、事件类:从发生事件之日起至确认修复完成之日截止 |
2.2安全评分恢复规则
从安全事件/安全漏洞确认修复(根据京东判断)之日起,开始自动恢复安全评分,恢复速度是减分速度一半(比如减分是每天0.2分,恢复是每天0.1分);每个应用的累计恢复分值小于等于累计减分分值;
3、安全评分规则二:
3.1 评分规则:从应用出现“安全规范”之日起,依据危害程度(风险等级)执行减分,在原有评分的基础上,按次减分,具体执行规则如下;
风险等级 | 减分规则 | 起止时间 |
安全规范:高 | 减0.2分/次 | 从发生事件之日起至确认修复完成之日截止 |
安全规范:中 | 减0.1分/次 | 从发生事件之日起至确认修复完成之日截止 |
安全规范:低 | 减0.05分/次 | 从发生事件之日起至确认修复完成之日截止 |
3.2安全评分恢复规则
从“安全规范”的评分项确认修复(根据京东判断)之日起,开始自动恢复安全评分,对应用安全评分增加已被扣分数;每个应用的累计恢复分值小于等于单项被扣分值;
三、Q&A
Q: 当应用部署使用的云主机被发现有漏洞时,请举例说明下如何扣分?
A: 应用A(APPKEY:12345678)当前安全评分为3.5分,于12月1日出现安全漏洞,该漏洞风险等级认定为“中危”,根据规则开发者可以有7天的修复时间,12月8日0点前会显示漏洞信息但不扣分,从12月8日0点后,每天才扣0.1分,则在12月8日应用详安全评分为 3.4分 (3.5-0.1=3.4); 如果该服务商截止12月10日修复整改完成,则这期间累计总扣分为0.3分,最终安全评分为3.2分;评分自动恢复将从12月11日开始,每天恢复0.05分,直到12月16号完全恢复这个漏洞的扣分值,最终安全评分恢复为3.5分。
Q: 当应用被添加了安全评分项"不满足真入鼎条件二:调用敏感接口的应用云数据库为0",如何进行改造修复?
A:请根据入鼎流程进行操作,具体需要购买云鼎的云数据库,并进行迁移部署。https://open.jd.com/home/home#/doc/common?listId=816
Q: 当应用被添加了安全评分项"不满足真入鼎条件一:调用敏感接口的应用云主机为0",如何进行改造修复?
A:请根据入鼎流程进行操作,具体需要购买云鼎的云主机,并进行迁移部署。https://open.jd.com/home/home#/doc/common?listId=816
Q: 当应用被添加了安全评分项"不满足真入鼎条件三:调用敏感接口的行为不是全部在鼎内",如何进行改造修复?
A:请保证所有敏感接口的调用都是在云鼎的云主机内调用,请参考入鼎指南:https://open.jd.com/home/home#/doc/common?listId=816 和敏感接口字段列表:https://open.jd.com/home/home#/doc/common?listId=377。
如有疑问,请到支持中心提交问题,谢谢。