饿了么开放平台ISV漏洞管理细则

在服务商使用饿了么开放平台服务前，服务商应当阅读并遵守《“饿了么”开放平台服务协议》（以下简称服务协议）及《开放平台ISV漏洞管理细则》（以下简称本规则），本规则是服务协议不可分割的组成部分，与本协议正文具有同等法律效力。饿了么有权根据需要不时地修改规则，如有任何变更，饿了么将以网站公示的方式进行公告，而不再单独通知服务商。变更后规则一经公布即自动生效，成为服务协议的一部分。如服务商不同意相关变更，应当立即停止使用饿了么开放平台服务，如服务商继续使用饿了么开放平台服务的，则视为服务商对修改后的规则不持异议并同意遵守。

1. 服务商的权利和义务
（1）服务商授权漏洞提交者发现安全问题并且对安全问题及时处理和响应。
（2）安全漏洞影响到业务发展，服务商必须积极正面响应漏洞提交者通过ALSC SRC（ALSC Security Response Center）：本地生活安全响应中心（ https://security.ele.me/agreement.html ） 提供的漏洞，包括及时通过漏洞平台通报进展并修复漏洞。
（3）安全漏洞是漏洞提交者的劳动产出，服务商必须正视漏洞提交者的产出，尊重他们漏洞提交者的行为，必要时可以对漏洞提交者进行公开的致谢。
（4）在条件允许的情况下，服务商应尽可能给漏洞提交者物质上的奖励。帮助正确引导漏洞的处理途径。在服务商没有明确的证据证明有故意破坏性行为时，禁止通过任何行为对漏洞提交者和饿了么进行威胁。
（5）服务商可以认领属于服务商的漏洞，但不能认领不属于服务商的漏洞。
（6）服务商在漏洞处理的过程中,可以借助饿了么和漏洞提交者进行在线交流。若漏洞提交者对服务商的处理结果有异议，可以向饿了么进行申诉，饿了么审核人员会对相应的漏洞再次评估和确认。
2. 饿了么漏洞信息披漏
（1）饿了么有向服务商提供与服务商相关漏洞信息与详情的义务。
（2）饿了么有拒绝服务商索要非服务商漏洞的权利。
（3）饿了么有对未被认领或服务商未处理的漏洞信息设置有效期的权利，对超过有效期的漏洞，饿了么有权对漏洞标题进行披露，以提醒其它企业。
3. 饿了么信息安全保护
（1）饿了么及团队尽量保证信息的可靠性，但是不绝对保证所有信息来源的可信，其中漏洞证明方法可能存在攻击性，但是一切都是为了说明问题而存在，饿了么对此不负担任何责任。
（2）饿了么将会努力保证用户提交信息的安全性。饿了么使用加密方案（HTTPS/TLS）来保护服务商在饿了么通信安全。然而，在互联网中没有任何通信是绝对安全的，所以饿了么也不能保证这些通信数据的绝对安全。服务商会在服务商自己的风险下使用饿了么提供的服务。
（3）饿了么可能会以电子邮件（或发送到服务商手机的短信或电话等）方式通知服务商服务进展情况以及提示服务商进行下一步的操作。
（4）如果饿了么发现服务商的软件、应用程序等存在安全漏洞，饿了么有权第一时间暂停为服务商提供服务，同时有权按照如下方式对服务商进行管控：
1）经双方协商沟通，迁入阿里聚石塔（http://cloud.tmall.com/）。
2）服务商不定期向饿了么出具第三方的安全认证。
3）饿了么有权对服务商不定期安全性抽查，如果发现问题服务商接受整改，并迁入阿里聚石塔。
4. 服务商违反法律法规或服务协议的约定及本规则约定，对漏洞未采取积极应对措施或者服务商不同意饿了么对服务商进行漏洞管控或者未与饿了么就漏洞响应措施协商一致的，饿了么有权采取直接终止本协议、删除服务商已获取的相关数据、下架应用等措施，且前述措施可以合并使用。饿了么有权采取直接终止本协议、删除服务商已获取的相关数据、下架应用等措施，且前述措施可以合并使用。