首页 > 安全保障 > 应用安全评分

应用安全评分

为了提升保障平台消费者的信息安全、提升服务商应用的安全性,给卖家提供选择更加安全的服务产品参考。开放者控制台将展现所有IT 类应用(如ERP、进销存、CRM、订单处理等)的应用安全评分。应用安全评分是体现服务商应用安全状态的一个动态评分,此评分在控制台的应用详情页里的安全中心进行展示。

一、术语定义
       1
、漏洞:漏洞是在硬件软件协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。京东安全部门会对服务商的应用进行安全漏洞扫描,扫描过程中出现的漏洞会根据风险程度进行分级;

2、事件:因为服务商的自身问题产生的安全事故,如账号被盗、数据泄露等,并因为安全事故产生了不良影响和损失;京东对事件按照严重程度进行了分级。

  3、安全规范:服务商的服务应用在开发、部署、运营和管理中需要遵守的安全规范;并根据违反安全规范有可能造成的结果严重程度进行分级。

具体规则定义参考:https://open.jd.com/home/home#/doc/common?listId=562
二、安全评分规则
      1
、所有IT类应用最高评分为5.0分(满分),初始统一评分为3.5分;
      2
、安全评分规则一:
      2.1   
评分规则:从应用出现漏洞/事件/安全规范之日起,依据危害程度(风险等级)执行减分,在原有评分的基础上,按天进行累计减分,具体执行规则如下;

风险等级

减分规则

起止时间

备注

漏洞:高危

事件:特大

0.2/

从发生事件之日起至确认修复完成之日截止

 

漏洞:中危

事件:重大

0.1/

从发生事件之日起至确认修复完成之日截止

 

漏洞:低危

事件:严重

0.05/

从出现超过24小时未修复的安全漏洞之日起至所有漏洞确认修复完成之日截止

 


      2.2  
安全评分恢复规则
      
从安全事件/安全漏洞确认修复(根据京东判断)之日起,开始自动恢复安全评分,恢复速度是减分速度一半(比如减分是每天0.2分,恢复是每天0.1分);每个应用的累计恢复分值小于等于累计减分分值;
      3
、安全评分规则二:
      3.1   
评分规则:从应用出现安全规范之日起,依据危害程度(风险等级)执行减分,在原有评分的基础上,按次减分,具体执行规则如下;

风险等级

减分规则

起止时间

备注

安全规范:高

0.2/

从发生事件之日起至确认修复完成之日截止

 

安全规范:中

0.1/

从发生事件之日起至确认修复完成之日截止

 

安全规范:低

0.05/

从出现超过24小时未修复的安全漏洞之日起至所有漏洞确认修复完成之日截止

 


      3.2  
安全评分恢复规则
      
安全规范的评分项确认修复(根据京东判断)之日起,开始自动恢复安全评分,对应用安全评分增加已被扣分数;每个应用的累计恢复分值小于等于单项被扣分值;


三、Q&A
      
安全评分举例:如应用AAPPKEY:12345678)当前安全评分为4.0分,于121日出现安全漏洞,该漏洞风险等级认定为中级,即从121日起,每天扣0.1分,则在122日应用详安全评分为 3.9 (4.0-0.1=3.9); 如果该服务商截止123日修复整改完成,则这期间累计减0.3分,最终安全评分为3.7分;评分自动恢复将从124日开始,每天恢复0.05分。

     
如有疑问,请提交到支持中心!