寫《淺談企業(yè)漏洞收集平臺建設》時候就想要找黑鍋審一下，因為擔心我對黑鍋觀點的理解不夠透徹，畢竟技術水平差距在那邊，理解不到位也很正常。結果那天晚上寫完一下就發(fā)了。今天黑鍋看完以后表示我還是沒有理解清楚有偏差，于是大筆一揮來一篇《再談企業(yè)漏洞收集平臺建設》。晚上到家才看見，迅速讀完以后感覺松了一口氣。應該說黑鍋還是認可我的觀點的。可是為什么還要寫這篇三談：

一方面對建設平臺的理念需要補充闡述，另外一個方面是因為我在寫《淺談企業(yè)漏洞收集平臺建設》，由于一些慣性思維的原因，導致一些關鍵的地方都沒有交代清楚，引起一些不必要的誤會，所以需要這篇文章來彌補。

首先要明確也是要強調的一點，尊重白帽子這個要素，這也是在建設企業(yè)漏洞收集平臺前就必須明確的。企業(yè)漏洞收集平臺是甲方和白帽子的交互平臺，也就是說參與到這個平臺的白帽子是認可企業(yè)和得到企業(yè)的認可的，應該受到尊重，尊重不僅僅是通過獎勵來體現(xiàn)，還有在對白帽子提交的漏洞的重視，在白帽子的深入溝通上等等?？梢哉f白帽子對平臺的認可是最寶貴的財富沒有之一。綜合這些方面，騰訊的TSRC無疑是走在了其他平臺的前面，很多建設和運營經驗成果都值得其他平臺借鑒和學習的。例如平臺人員和白帽子一對一的漏洞跟蹤，邀請白帽子參與漏洞爭議裁決，還有最重要的是平臺運營的態(tài)度是端正的，只要這個能保持下去平臺就會有更好的發(fā)展，我每次找lake2的時候，他都很認真的聽我的建議，而且落實去做，這個讓我很感動。這些寶貴的經驗也是其他平臺所要學習的，任何一個漏洞平臺如果離開了白帽子的支持，就算平臺開發(fā)做的再好，有再多的資金支持也不可能運轉下去，對企業(yè)安全產生幫助。

其次要說的還是平臺建設上的人治和法治問題，這個話題在淺談還是再談里面都已經有很多說明了。這里就簡單作出一些總結，首先運營人員的技術水平是必須提高的，當然這個技術水平不僅僅是安全技術，還有對安全的理解，企業(yè)漏洞的深入認識，當然還有最重要的溝通能力，但是需要企業(yè)會綜合人員工作分配還有人員成長上問題考慮，不能保證人員的穩(wěn)定。所以為了適應人員的變動，還是需要有足夠的規(guī)范條例，通過規(guī)范條例來解決通用性的問題，當然沒有條例規(guī)范是完美和絕對適用的，必須再用人工來輔以修正。這也是黑鍋所說的“應該把以上的一些因素的權重來實現(xiàn)一個修正的評分模式”。我的觀點是，雖然法治和人治是沖突的，但是在運營中盡量以法治為準，人治輔助，對于出現(xiàn)啟動人工判定時候，需要檢查條例和規(guī)范是否合理。整個運營趨勢應該是無限趨近規(guī)范處理，人工干預降低到最低。

最后想說的是漏洞收集平臺獲得的漏洞對企業(yè)來說是一筆巨大的財富，黑鍋語“當這樣平臺的運營人員是幸福的，就像一個圖書館(圖書館的威力，你們都懂的!)”，在沙龍開始前幾天，我雖然知道不可能，但還是向lake2提出，想獲得一個進這個圖書館看看的機會，最后被lake2拒絕了。當然開放這個圖書館還有很多的路需要去走，我們期待這一天能早日到來。在企業(yè)內部，應該能認真分析一個漏洞，從成因，到發(fā)現(xiàn)方法，到可能造成的損失，從每個漏洞里面都學到足夠的價值，才是我們建設企業(yè)漏洞收集平臺的最終目的。

結束前還是想用一些篇幅寫一點關于甲方企業(yè)安全工作的問題，因為看之前一篇文章留言里有很多朋友提了一些看法，我也看見lake2在留言里有回復，我作為一個多個甲方企業(yè)工作過的安全人也想在這里簡單說一些酸甜苦辣吧。從外部看甲方企業(yè)安全工作者的確存在很多問題，比如對漏洞研究較淺，各種奇怪的工作分配。這些問題說起來也很簡單，就是由企業(yè)性質決定的，因為企業(yè)不是靠安全來賺錢，用這個最簡單的理由就可以把安全人員踢到最邊緣的位置上，有個不恰當?shù)谋扔鳎翰皇Щ饡r候誰也不愿意看到消防隊而失火以后又埋怨為什么有消防隊還失火。

這個情況雖然殘酷，但確實很多甲方安全工作者真實情況。這些年因為持續(xù)不斷的安全事件教育和信息安全被重視，才讓安全工作成為必備的崗位，得到認可，是多么的不容易。而騰訊能率先開啟企業(yè)收集平臺則顯得更加難能可貴，這也是為啥我在《騰訊安全沙龍參后感》里面寫能成立這個平臺，并且能做成這樣是多么的不容易，我們向安全的先行者—TSRC致敬。應該說再有幾年發(fā)展，甲方安全人員應該能擺脫技術落后的帽子，真正向乙方安全人員看齊。