從7月份加入TSRC平臺(tái)來(lái)，我一直都給TSRC（Tencent Security Response Center）的朋友提了很多的建議，不過我用的方式都比較“極端”，所以給很多人的印象是我是TSRC平臺(tái)最難纏的!直到最近博客及微博一系列的討論，我也直接淪落為邪惡的“鬧事者”!這個(gè)其中可能與甲方強(qiáng)大的“封建殘余理論”有直接的關(guān)系，不過可能是我們對(duì)甲方對(duì)安全“進(jìn)化”要求過高。于是只有采用以前常用的“曝光引發(fā)公共關(guān)注”的手段來(lái)促進(jìn)發(fā)展了!?

我一直認(rèn)為TSRC這樣的平臺(tái)是有積極意義的，所以把之前的一些建議提一下，希望給后來(lái)者得到一些啟發(fā)?！具@些建議可能比較凌亂沒有體系!】

首先明確2點(diǎn)：

一、如何評(píng)價(jià)甲方漏洞平臺(tái)的價(jià)值。

甲方評(píng)價(jià)平臺(tái)的價(jià)值不應(yīng)該是收集了多少漏洞，吸引了多少白帽子，發(fā)了多少獎(jiǎng)品等，而是應(yīng)該看這個(gè)平臺(tái)給甲方的安全體系建設(shè)帶來(lái)了多少價(jià)值。包括：提升自己?jiǎn)T工(安全、開發(fā)、運(yùn)維、管理等)的技術(shù)技能及安全意識(shí)、發(fā)現(xiàn)和彌補(bǔ)自身安全流程(如sdl等)的缺陷、改進(jìn)自身測(cè)試工具及流程(如黑、白盒審計(jì)工具等)等等。通過平臺(tái)吸收外界能量，提升本身的能力才是價(jià)值的體現(xiàn)。

另外我覺得甲方提升安全的最終目的是為了保證用戶的利益安全。也就是最終對(duì)象是用戶的利益。而對(duì)于用戶應(yīng)該不拋棄不放棄，更不應(yīng)該bs小白用戶。恰好我認(rèn)為保護(hù)更多的小白用戶的利益才是技術(shù)發(fā)展的動(dòng)力。

而這些主題思想關(guān)系到整個(gè)平臺(tái)的建設(shè)具體的措施的實(shí)施。

二、拋棄“封建殘余”，真正重視和尊重安全人員。

目前來(lái)看，很多的甲方并沒有從“敵對(duì)”的“封建思想”里走出來(lái)，還有很多的殘余，漏洞平臺(tái)是一個(gè)甲方和各大外來(lái)安全人員的一個(gè)互動(dòng)平臺(tái)，也就是說參與到這個(gè)平臺(tái)的人就應(yīng)該受到必須的尊重,然而很多甲方思想還是：“我給你獎(jiǎng)金我給你獎(jiǎng)品你能不能消停點(diǎn)?”的層次，所以我就在微博說了“GS3我已經(jīng)砸了!” 雖然這只是個(gè)謊話 :)。

尊重是一個(gè)持續(xù)的過程，可體現(xiàn)在平臺(tái)與白帽子互動(dòng)交流的各個(gè)細(xì)節(jié)。當(dāng)然有改變甲方這樣的“根深蒂固”的思想，可能是一個(gè)很漫長(zhǎng)的過程 ...

一些具體的建議：

1、完善自己的對(duì)漏洞的響應(yīng)、審查、補(bǔ)丁等流程。在TSRC的實(shí)踐看來(lái)，個(gè)人感覺TSRC更像是一個(gè)“傳達(dá)室”，每天的工作就是確認(rèn)下漏洞然后分發(fā)給不同的部門開發(fā)，進(jìn)行修補(bǔ)。完全沒有體現(xiàn)SDL的精髓，SDL是要求每個(gè)流程都需要有安全人員的參與，包括漏洞的確認(rèn)，危害評(píng)估，漏洞影響的范圍(如其他的產(chǎn)品線可能有類似的漏洞)，給出具體的補(bǔ)丁修補(bǔ)方案及防御措施等等。

2、提高員工自身的能力。包括技術(shù)、安全的理解及和白帽子溝通能力等。個(gè)人認(rèn)為身為安全人員都基礎(chǔ)不過關(guān)，那他指導(dǎo)的安全流程實(shí)施本身就是不靠譜的。

3、重視漏洞修補(bǔ)。前面提到的平臺(tái)價(jià)值就涉及到這個(gè)問題。很多的白帽子及甲方安全人員迷失在茫茫的“漏洞”里，而不重視甚至不在乎漏洞有沒有得到很好的解決。在我報(bào)告給tsrc的漏洞里的dom-xss類型的漏洞，除了直接刪除漏洞頁(yè)面代碼的修復(fù)方案外，其余重補(bǔ)率幾乎達(dá)100%!有的漏洞甚至補(bǔ)丁次數(shù)達(dá)到了4-5次!而TSRC的標(biāo)準(zhǔn)本身是不重視漏洞修補(bǔ)復(fù)查情況(以前的標(biāo)準(zhǔn)是補(bǔ)丁復(fù)查出現(xiàn)的漏洞+1分)，當(dāng)我提出要按新漏洞計(jì)算時(shí)困難重重，因?yàn)樗麄兡承┌踩藛T認(rèn)為這個(gè)不重要!并且說這個(gè)平臺(tái)上就我有那么多問題!那么難纏!這是因?yàn)槲抑涝谶@樣的機(jī)制下白帽子認(rèn)真復(fù)查漏洞的基本沒有!于是結(jié)果就是“漏洞還是那個(gè)漏洞!”。 為了證實(shí)我的看法，我還去某些平臺(tái)上公布的騰訊的漏洞，復(fù)查一下，補(bǔ)丁隨便就bypass了!

4、尊重標(biāo)準(zhǔn)。標(biāo)準(zhǔn)制訂了就不能隨時(shí)修改，即使原標(biāo)準(zhǔn)有缺陷，也要在以白帽子利益優(yōu)先的基礎(chǔ)上承認(rèn)，并發(fā)布新的標(biāo)準(zhǔn)并告示。

5、標(biāo)準(zhǔn)的制訂：

當(dāng)時(shí)我給騰訊的建議是采用修正模式。也就是不用單一死板的漏洞類型來(lái)評(píng)估。對(duì)于甲方來(lái)說評(píng)估一個(gè)漏洞應(yīng)該從多個(gè)方面來(lái)考慮：

i、 實(shí)施攻擊的成本。包括漏洞有成熟的利用方式不需要什么門檻就可以實(shí)現(xiàn)攻擊、漏洞觸發(fā)的條件等。甚至包括發(fā)動(dòng)攻擊的法律風(fēng)險(xiǎn)等。

ii、 一但攻擊成功的后果。比如攻擊者利用這個(gè)漏洞可以取得的權(quán)限等等

iii、 這個(gè)漏洞的影響范圍。比如某些通用的函數(shù)里的漏洞，可能覆蓋到很多的產(chǎn)品線，很可能導(dǎo)致漏補(bǔ)等情況。

iiii、對(duì)技術(shù)的尊重及認(rèn)可。這個(gè)主要是體現(xiàn)在有的漏洞通過某些技術(shù)完美利用了很難利用的漏洞等

...

應(yīng)該把以上的一些因素的權(quán)重來(lái)實(shí)現(xiàn)一個(gè)修正的評(píng)分模式。而甲方不應(yīng)該只看到漏洞的利用效果來(lái)評(píng)價(jià)。甲方的目的是修補(bǔ)漏洞，變得更加安全，可以更大程度的保護(hù)好用戶的利益。而不是去變相鼓勵(lì)滲透入侵。

6、獎(jiǎng)勵(lì)機(jī)制

TSRC從7月開始采用月排名的機(jī)制進(jìn)行獎(jiǎng)勵(lì)?？赡苁强紤]到獎(jiǎng)品的成本問題，而采用這個(gè)方式。但是這個(gè)方式存在很大的問題，也就是越到后面排名，越不公平。我想很多白帽子意識(shí)到這個(gè)問題。所以為了彌補(bǔ)這些缺陷，騰訊采用了一些其他的獎(jiǎng)勵(lì)措施。比如直接給高危漏洞單獨(dú)發(fā)放ipad等，但這個(gè)方式是才完全從漏洞利用來(lái)評(píng)價(jià)的!可能導(dǎo)致的后果就是，任何一個(gè)有可能得到shell的漏洞類型，白帽子都可能去嘗試一下，這也是上面提到的“變相鼓勵(lì)滲透入侵”的理由。還有一個(gè)措施就是把客服端、在線安全及移動(dòng)客服端安全分開。而對(duì)于客服端領(lǐng)域因?yàn)閰⑴c的人少，直接不用費(fèi)力就可以得大獎(jiǎng)。這樣導(dǎo)致的成本也就不斷的提高，可能換個(gè)更公平的方案的成本可能差不多。

個(gè)人建議可以取消排名機(jī)制，白帽子根據(jù)提交的漏洞累計(jì)積分。然后根據(jù)積分發(fā)放對(duì)應(yīng)的獎(jiǎng)品。至于這個(gè)方案的成本和上面方案的成本比較，要看甲方自己去調(diào)查分析了。

7、加強(qiáng)和白帽子的交流合作。這個(gè)上面也有提到。在tsrc里看到的白帽子就提交漏洞就ok了。應(yīng)該讓白帽子參與到漏洞原理分析，觸發(fā)提交，并可以提出修補(bǔ)的建議，補(bǔ)丁的確認(rèn)等流程里。這個(gè)也是提醒尊重白帽子的主要途徑。

8、加強(qiáng)平臺(tái)建設(shè)

這個(gè)比較具體的漏洞平臺(tái)的設(shè)計(jì)的一些細(xì)節(jié)。比如給白帽子提供更多的關(guān)于漏洞的細(xì)節(jié)，如觸發(fā)的環(huán)境條件的描敘(操作系統(tǒng)、瀏覽器及版本、觸發(fā)的錯(cuò)誤信息等)這樣可以盡可能的減少漏洞重現(xiàn)分析、甚至補(bǔ)丁等的成本。 還如完善交流的機(jī)制，減少和白帽子溝通成本等等。

最后，希望以上的一些建議，對(duì)于甲方的平臺(tái)建設(shè)起點(diǎn)作用!更加希望各大甲方重視自己的安全，希望不是“皇帝不急、太監(jiān)急!”(雖然我不是東方不敗)!

update：

其實(shí)還忘記一點(diǎn)就是刷分問題，對(duì)于本身基礎(chǔ)底子不夠的甲方，刷分是不可避免的!恰好相反刷分可以加強(qiáng)鞏固技術(shù)安全，彌補(bǔ)一些基礎(chǔ)不足。也就是文章里“如何評(píng)價(jià)甲方漏洞平臺(tái)的價(jià)值” 的方式來(lái)評(píng)價(jià)的!!