從7月份加入TSRC平臺來，我一直都給TSRC（Tencent Security Response Center）的朋友提了很多的建議，不過我用的方式都比較“極端”，所以給很多人的印象是我是TSRC平臺最難纏的!直到最近博客及微博一系列的討論，我也直接淪落為邪惡的“鬧事者”!這個其中可能與甲方強大的“封建殘余理論”有直接的關(guān)系，不過可能是我們對甲方對安全“進化”要求過高。于是只有采用以前常用的“曝光引發(fā)公共關(guān)注”的手段來促進發(fā)展了!?

我一直認為TSRC這樣的平臺是有積極意義的，所以把之前的一些建議提一下，希望給后來者得到一些啟發(fā)。【這些建議可能比較凌亂沒有體系!】

首先明確2點：

一、如何評價甲方漏洞平臺的價值。

甲方評價平臺的價值不應(yīng)該是收集了多少漏洞，吸引了多少白帽子，發(fā)了多少獎品等，而是應(yīng)該看這個平臺給甲方的安全體系建設(shè)帶來了多少價值。包括：提升自己員工(安全、開發(fā)、運維、管理等)的技術(shù)技能及安全意識、發(fā)現(xiàn)和彌補自身安全流程(如sdl等)的缺陷、改進自身測試工具及流程(如黑、白盒審計工具等)等等。通過平臺吸收外界能量，提升本身的能力才是價值的體現(xiàn)。

另外我覺得甲方提升安全的最終目的是為了保證用戶的利益安全。也就是最終對象是用戶的利益。而對于用戶應(yīng)該不拋棄不放棄，更不應(yīng)該bs小白用戶。恰好我認為保護更多的小白用戶的利益才是技術(shù)發(fā)展的動力。

而這些主題思想關(guān)系到整個平臺的建設(shè)具體的措施的實施。

二、拋棄“封建殘余”，真正重視和尊重安全人員。

目前來看，很多的甲方并沒有從“敵對”的“封建思想”里走出來，還有很多的殘余，漏洞平臺是一個甲方和各大外來安全人員的一個互動平臺，也就是說參與到這個平臺的人就應(yīng)該受到必須的尊重,然而很多甲方思想還是：“我給你獎金我給你獎品你能不能消停點?”的層次，所以我就在微博說了“GS3我已經(jīng)砸了!” 雖然這只是個謊話 :)。

尊重是一個持續(xù)的過程，可體現(xiàn)在平臺與白帽子互動交流的各個細節(jié)。當然有改變甲方這樣的“根深蒂固”的思想，可能是一個很漫長的過程 ...

一些具體的建議：

1、完善自己的對漏洞的響應(yīng)、審查、補丁等流程。在TSRC的實踐看來，個人感覺TSRC更像是一個“傳達室”，每天的工作就是確認下漏洞然后分發(fā)給不同的部門開發(fā)，進行修補。完全沒有體現(xiàn)SDL的精髓，SDL是要求每個流程都需要有安全人員的參與，包括漏洞的確認，危害評估，漏洞影響的范圍(如其他的產(chǎn)品線可能有類似的漏洞)，給出具體的補丁修補方案及防御措施等等。

2、提高員工自身的能力。包括技術(shù)、安全的理解及和白帽子溝通能力等。個人認為身為安全人員都基礎(chǔ)不過關(guān)，那他指導(dǎo)的安全流程實施本身就是不靠譜的。

3、重視漏洞修補。前面提到的平臺價值就涉及到這個問題。很多的白帽子及甲方安全人員迷失在茫茫的“漏洞”里，而不重視甚至不在乎漏洞有沒有得到很好的解決。在我報告給tsrc的漏洞里的dom-xss類型的漏洞，除了直接刪除漏洞頁面代碼的修復(fù)方案外，其余重補率幾乎達100%!有的漏洞甚至補丁次數(shù)達到了4-5次!而TSRC的標準本身是不重視漏洞修補復(fù)查情況(以前的標準是補丁復(fù)查出現(xiàn)的漏洞+1分)，當我提出要按新漏洞計算時困難重重，因為他們某些安全人員認為這個不重要!并且說這個平臺上就我有那么多問題!那么難纏!這是因為我知道在這樣的機制下白帽子認真復(fù)查漏洞的基本沒有!于是結(jié)果就是“漏洞還是那個漏洞!”。 為了證實我的看法，我還去某些平臺上公布的騰訊的漏洞，復(fù)查一下，補丁隨便就bypass了!

4、尊重標準。標準制訂了就不能隨時修改，即使原標準有缺陷，也要在以白帽子利益優(yōu)先的基礎(chǔ)上承認，并發(fā)布新的標準并告示。

5、標準的制訂：

當時我給騰訊的建議是采用修正模式。也就是不用單一死板的漏洞類型來評估。對于甲方來說評估一個漏洞應(yīng)該從多個方面來考慮：

i、 實施攻擊的成本。包括漏洞有成熟的利用方式不需要什么門檻就可以實現(xiàn)攻擊、漏洞觸發(fā)的條件等。甚至包括發(fā)動攻擊的法律風(fēng)險等。

ii、 一但攻擊成功的后果。比如攻擊者利用這個漏洞可以取得的權(quán)限等等

iii、 這個漏洞的影響范圍。比如某些通用的函數(shù)里的漏洞，可能覆蓋到很多的產(chǎn)品線，很可能導(dǎo)致漏補等情況。

iiii、對技術(shù)的尊重及認可。這個主要是體現(xiàn)在有的漏洞通過某些技術(shù)完美利用了很難利用的漏洞等

...

應(yīng)該把以上的一些因素的權(quán)重來實現(xiàn)一個修正的評分模式。而甲方不應(yīng)該只看到漏洞的利用效果來評價。甲方的目的是修補漏洞，變得更加安全，可以更大程度的保護好用戶的利益。而不是去變相鼓勵滲透入侵。

6、獎勵機制

TSRC從7月開始采用月排名的機制進行獎勵?？赡苁强紤]到獎品的成本問題，而采用這個方式。但是這個方式存在很大的問題，也就是越到后面排名，越不公平。我想很多白帽子意識到這個問題。所以為了彌補這些缺陷，騰訊采用了一些其他的獎勵措施。比如直接給高危漏洞單獨發(fā)放ipad等，但這個方式是才完全從漏洞利用來評價的!可能導(dǎo)致的后果就是，任何一個有可能得到shell的漏洞類型，白帽子都可能去嘗試一下，這也是上面提到的“變相鼓勵滲透入侵”的理由。還有一個措施就是把客服端、在線安全及移動客服端安全分開。而對于客服端領(lǐng)域因為參與的人少，直接不用費力就可以得大獎。這樣導(dǎo)致的成本也就不斷的提高，可能換個更公平的方案的成本可能差不多。

個人建議可以取消排名機制，白帽子根據(jù)提交的漏洞累計積分。然后根據(jù)積分發(fā)放對應(yīng)的獎品。至于這個方案的成本和上面方案的成本比較，要看甲方自己去調(diào)查分析了。

7、加強和白帽子的交流合作。這個上面也有提到。在tsrc里看到的白帽子就提交漏洞就ok了。應(yīng)該讓白帽子參與到漏洞原理分析，觸發(fā)提交，并可以提出修補的建議，補丁的確認等流程里。這個也是提醒尊重白帽子的主要途徑。

8、加強平臺建設(shè)

這個比較具體的漏洞平臺的設(shè)計的一些細節(jié)。比如給白帽子提供更多的關(guān)于漏洞的細節(jié)，如觸發(fā)的環(huán)境條件的描敘(操作系統(tǒng)、瀏覽器及版本、觸發(fā)的錯誤信息等)這樣可以盡可能的減少漏洞重現(xiàn)分析、甚至補丁等的成本。 還如完善交流的機制，減少和白帽子溝通成本等等。

最后，希望以上的一些建議，對于甲方的平臺建設(shè)起點作用!更加希望各大甲方重視自己的安全，希望不是“皇帝不急、太監(jiān)急!”(雖然我不是東方不敗)!

update：

其實還忘記一點就是刷分問題，對于本身基礎(chǔ)底子不夠的甲方，刷分是不可避免的!恰好相反刷分可以加強鞏固技術(shù)安全，彌補一些基礎(chǔ)不足。也就是文章里“如何評價甲方漏洞平臺的價值” 的方式來評價的!!