产品概述
携程 SRC(携程安全响应中心)是携程集团面向全球安全研究者开放的官方漏洞报告与协作平台。平台专注于收集、验证并修复携程旗下所有业务线(包括酒店、机票、度假、商旅等)的安全漏洞,同时通过现金与礼品激励安全社区参与漏洞挖掘。携程 SRC 于2014年3月正式上线,总部位于上海,依托携程在在线旅游行业的技术积累与用户规模,建立起一套覆盖漏洞生命周期管理、威胁情报共享与安全能力提升的完整体系。其核心价值在于连接企业安全团队与外部白帽力量,共同守护亿万用户的个人信息与交易安全。
核心功能
- 漏洞提交与审核: 安全研究者可通过平台提交携程业务系统中存在的 SQL 注入、XSS、逻辑漏洞、越权访问等各类安全风险。提交后由专业安全团队进行验证、定级并给出修复方案。
- 多层级奖励机制: 根据漏洞危害程度(严重、高危、中危、低危)发放对应积分或携程币,积分可在礼品商城兑换电子设备、数码周边、旅行券等实物或虚拟奖品。月度、年度贡献排名靠前的白帽子可获得额外现金奖励。
- 漏洞生命周期追踪: 提交者可在平台实时查看漏洞状态(待确认、已确认、修复中、已修复),并接收修复反馈。所有记录长期保留,便于定级争议复核与贡献累积。
- 安全公告与知识库: 定期发布漏洞修复公告、安全加固指南及行业威胁情报,帮助社区成员了解最新的攻击手法与防御策略。同时提供历史漏洞案例供学习参考。
- 专属积分商城: 奖励采用携程币体系,支持兑换携程 App 内使用的服务券(如酒店优惠券、机票折扣券),也可兑换第三方电商平台的通用礼品,灵活满足不同需求。
适用人群
携程 SRC 主要面向具备网络攻防能力的安全爱好者、职业白帽黑客、渗透测试工程师以及高校信息安全专业学生。典型场景包括:独立研究者利用业余时间挖掘携程业务中的逻辑漏洞并提交获取收益;企业安全团队通过平台建立与外部人才的常态化合作,补充内部渗透测试的覆盖盲区;安全培训机构将平台作为学员实战演练的合法靶场,培养实战型人才。对于任何希望在真实业务环境中验证技术能力并获取回报的安全从业者,携程 SRC 都提供了低门槛、高信任的参与通道。
行业地位与数据亮点
携程 SRC 是国内最早一批由在线旅游企业建立的漏洞响应平台之一,运营时间已超过十年。依托携程在 OTA 领域的市场占有率,平台每年处理的漏洞报告数量与奖励发放总额均处于行业前列。相比同类竞品(如其他互联网公司的 SRC),携程 SRC 的奖励体系覆盖了从玩具级漏洞到严重级漏洞的全量范围,且提供贴近旅游消费场景的积分兑换选项,形成差异化优势。平台无需付费注册,任何实名认证的用户均可提交漏洞,所有漏洞定级标准公开透明,确保公平性。对于希望长期合作的高贡献白帽子,还会开放定向邀请的内测项目,接触携程尚未上线的服务模块。