关于漏洞的定价，总是避免不了产生一些摩擦，因为与白帽子们的自身利益息息相关，大家往往在漏洞确认后最为关心的就是定价了，因为这不止是对白帽子们的个人能力，也是对挖漏洞过程中付出的精力和时间的一种肯定。再量化为毛爷爷，这个问题就变得更加复杂了，不说多，就是5元（1积分）的浮动也会让人心里产生落差,宝宝不开心了。

      不止白帽子，其实我们也有话想说。

我们今天就先来捋一捋关于漏洞定价中的那些问题。

注：以下问题全部来源于360SRC日常运营过程中白帽子们的反馈，

对于白帽子们的每一条意见和建议，我们都会认真对待，

只要你不离不弃，我必生死相依，

让我们共同努力，打造更加透明的SRC平台。ヽ(•̀ω•́ )ゝ

      A：咱们先不说这个getshell具体能干什么，就事论事，白帽子的出发点在于为什么同样类型的漏洞在没有任何活动的前提下，

定价差了一半。先放一张图:

      大家也看到了，漏洞奖励是有范围的，这个范围往大了说是依凭漏洞的危害影响力、业务的重要性及漏洞挖掘难度这几个标准而改变浮动的，这三大项都是评估的标准，缺一不可。举个例子：同样的getshell会因业务的重要性而有变化，同理，三大项中有任何一项有改变，那么这个浮动都是符合正常的。至于危害影响范围、业务的重要性及漏洞挖掘难度又要根据实际的漏洞再进行细分，所以就会出现同样类型的漏洞奖励不同的情况。

      A：我们不但承诺提交高危漏洞有旅游大奖【参考历史文章：季度奖励公告：和最爱的人开始一场说走就走的旅行】，目前针对于360安全卫士、360手机卫士、360安全路由器这三款产品，我们正在申请CVE资质，目前组织上已经给了一些CVE预编号，如果您近期发现以上三款产品的漏洞，只要符合CVE编号发放原则，我们就会为您提交的漏洞申请CVE编号，同时奖金照发不误。所以说，怎么可能不想承认漏洞呢，360对待安全的态度一直是开放的。

      有一点需要明确的是：漏洞的定价是根据危害程度而决定的，并不是定价决定危害程度，危害程度是定价的充分条件，也就是说这是一个单项命题。积分的范围本来就是参考范围，设立上限是为了通用型漏洞处理，超过上限则是对该漏洞的额外奖励。奖励是无法影响漏洞的危害程度的。

     A：360SRC始终是为各位白帽子提供服务的平台，不想多发奖金这种念头我们不敢有也不会有。

      处理过程中漏洞会降级与升级的原因，在360SRC三周年庆典上0kee Team的负责人张鲁已为大家解释。那确认了好久快结算的漏洞为什么还会降级/升级呢？其实为了保障白帽子们的最大权益，漏洞的审核工作并不是由单一的一个人完成的，一个漏洞提交过来需要经历的处理过程参考历史文章【揭秘360SRC安全应急事件处理全过程】，除了文章中所讲的“初审”的几位审核同事及相关业务的同事外，在每月初“发工资”前，还会有一轮“终审”，会有包括初审审核在内的6-8名安全专家对漏洞进行最终评估，有异议的漏洞立刻“回炉重造”，重新审核评估，这一轮的评估后漏洞定价就是确定的了，各位白帽子们是不是也发现了很多漏洞会升级涨价呢？关于这个最终定价白帽子们如果还是不理解的话可以申请漏洞仲裁，联系360安全应急响应中心QQ群的管理员即可，我们会有专门的同事为大家跟进处理。

      A：360SRC对外接收的是360集团及360部分投资控股公司的产品的安全漏洞，为了保障所有使用360产品的用户的安全，我们正在积极与投资控股公司进行沟通，邀请他们加入360SRC奖励计划，对于白帽子们的反馈进行奖励回报。

      举个例子，比如2月有白帽子提交了许多条某页游网站的漏洞，我们收到漏洞后从域名初步判断该业务为合作公司业务，不属于接收范围，于是进行了忽略处理。但是经过多次与对方交涉，对方也认同保护用户安全是优先准则，并认可了白帽子们的努力，同意给予奖励的同时也表示今后愿意加入360SRC奖励计划，与各位白帽子一同捍卫产品安全。

      现在你知道表姐一天都在忙什么了吧，真真儿的是忙着为大家谋福利呢~

      A：没有。

      经过上面的说明，大家应该也能看明白为什么漏洞价格会有浮动了吧。我们非但没有降价，反而涨价了哦~！

      web端新设【严重】漏洞级别，除了5000元到10000元的现金奖励外，针对重大安全漏洞，我们会发放最高10万元的额外奖励。危害程度为【高级】的漏洞，奖金上限增加至4000元。360部分投资控股公司的漏洞奖励与360集团业务一致！

      A：就从这个“金三月”开始！全新的奖励方案从2017年3月1日实施，欢迎各位白帽子们来监督哦~( ˘ ³˘)~

      另外，360SRC始终欢迎各位小伙伴们来和我们聊大家的困惑哦~爱你们 

(●ゝω)ノbiu~ ♥