雖然cnhawk總是一名“終結(jié)者”，但是從TSRC平臺建設(shè)開始，給各大企業(yè)平臺的建設(shè)過程里，卻提供了大量的“建設(shè)”性的建議，一個名副其實的“建設(shè)者”。每次lake2和我pk的時候，老是說：“你等著，我找hawk總秒殺你!” 奇怪的是，很多回合過去了，卻很多走向了共同的點子上.....

在4月19日TSRC沙龍上，我們現(xiàn)場來個PK，不過當(dāng)時環(huán)境所限，感覺pk不是很過癮。于是hawk總來一個大招《淺談企業(yè)漏洞收集平臺建設(shè)》。整體上來說，現(xiàn)場pk的也是以前pk過的一個問題：法治與人治。其實這個題目很大! 其實我不完全是人治。

首先，“企業(yè)漏洞平臺將運營人員技術(shù)層次提高到足夠高的水平” 這個是體現(xiàn)平臺價值的一個重要點。我和lake2說過：當(dāng)這樣平臺的運營人員是幸福的，就像一個圖書館(圖書館的威力，你們都懂的!)，你單純把他當(dāng)一重工作任務(wù)，那真是“天理不容”的!!

然后在大風(fēng)的演講《黑客來了怎么辦》里提到一問題，那就是“度”!白帽子們在找漏洞測試時候的一個“度”，大風(fēng)主張只到POC的層面就好了。但是問題來了，怎么評價這個漏洞的最終危害!這個也就涉及到評分的問題。 如果有白帽子來完成，那很明顯越界了，完全可以去“南山法院”，只要騰訊愿意。 所以這個事情就得交給甲方來做，但是這里又有一個問題了 ，也就是甲方人員得水平問題! 我記得在現(xiàn)場我也說了，以前在tsrc的人員也說過：“你自己的技術(shù)水平都不行，怎么去評估別人報告的漏洞!” 其實這個是比較尖銳的提法。所以開始tsrc的很多朋友對我是有看法，但基本都是爺們，我想也沒關(guān)系。 但是面對一些甲方妹子交流的時候，我就不好去說這個話了，有點傷人!(這里絕對不是性別歧視啊～～)

跑題了...

那么我們怎么來解決這個問題，當(dāng)時我提了2個建議：

1、加強對甲方安全人員的內(nèi)功(人才培養(yǎng))

2、加強和漏洞報告者的溝通。(你有能力證明，但是沒有資格去實施。我有資格去實施，但是沒有這個能力!所以交流交流就好了!?)

不過TSRC的人有沒有采用我的，我就不是很清楚了...

然后我們回到評分標(biāo)準(zhǔn)的問題上，hawk總的量法思路，其實很多人(我記得大風(fēng)就提過)和機構(gòu)都有去做過。但是我認(rèn)為漏洞的場景太多，也就是評估的因素很多。而不是單單遠(yuǎn)程、本地等問題。而且我認(rèn)為web服務(wù)上說遠(yuǎn)程本地基本沒多大意義。當(dāng)然這個只是個舉例說明，好像以前也有老外提供過一些共公式。這里我想說的是我在《我的安全世界觀》里提到的“概念(公式)是死的”到***評估還是落實到人身上。

那我的辦法是啥呢? 我在《給TSRC等甲方平臺建設(shè)的一些建議》里提到：“應(yīng)該把以上的一些因素的權(quán)重來實現(xiàn)一個修正的評分模式” 也就是在“法治”的每個規(guī)則上來個修正的范圍：

如：[ 嚴(yán)重 ] (兌換金幣系數(shù) 30 )分值范圍 9-10， 修正+-5

也就是先給等級，然后結(jié)合漏洞的一些場景、條件來修正。

另外我對其他甲方建立這樣的平臺的時候，一定要注意結(jié)合甲方自己的因素，比如投入的成本等等去認(rèn)真思考，榜樣有時候是有“毒”的。不要“該學(xué)的沒學(xué)到，不該學(xué)的都用上了 ”

hawk總發(fā)布“終結(jié)”篇《三談企業(yè)漏洞收集平臺建設(shè)》