SRC是目前国内常用的安全运营方案,简单说,就是公开的花钱收集外部安全漏洞。
但整个运营过程中也有很多注意事项:
1.一般建立流程
1.邀请外部安全公司进行测试
一般安全人员都很难对公司安全程度给出准确评估,可能由于自身知道的信息比较多,知道公司有大量安全问题,或未发现安全问题等。邀请第三方公司,可以相对客观对公司安全状况进行评价, 可以控制基本的成本、摸清自家的底细
2.非官方正式的邀请好友进行测试
逐步宣传防止,漏洞太多导致影响比较坏(可以拉讨论组等方式)
,这样尝试后,基本上有了底气
- 补天、先知等平台(可选)
邀请这些平台进行测试,安全风险可控,毕竟白帽子都签了协议
4.建立正式的SRC平台
2.规范文档
必须有个对外的说明规范,以保证公司的合法权益,这方面当选腾讯是本规范的鼻祖,主要背景原因,腾讯SRC成立比较早,只能自己造轮子。
腾讯SRC规范邀请了很多安全业界大牛参与,具有权威性
https://security.tencent.com/uploadimg_dir/other/TSRC.pdf
后来各家SRC都是在本规范的基础上删删减减,没有实质变化。
其中主要包括漏洞定级及对应奖励范围
计费形式:
一般根据漏洞等级进行确认,有些公司也对业务系统进行划分,不同业务系统乘以不同的系数
补*流程:
费用:
最低充值 3w , 需要承担20%的测试人员的劳务报酬个人所得税
费, 实际是2.4万
签订期限为一年,一年到期后,钱未花完,可以"退款"(流程比
较麻烦)
是否可以选择白帽子?
根据最高漏洞奖励金额,专属src,分为基础版(不能选择),标
准版,高级版,不同版本有不同的选择权利
FAQ:
带来攻击流量,影响业务?
是否算对白帽子授权?成为数据泄露的源泉?
如果漏洞太多支付不起怎么办?
参考文档
类似与补天的平台
butian.360.cn
www.vulbox.com
www.bugbank.cn
SRC列表
SRC网站开源系统
http://www.mianhuage.com/680.html
https://butian.360.cn/Reward/plan
腾讯src
https://security.tencent.com/uploadimg_dir/other/TSRC.pdf
滴滴src
http://sec.didichuxing.com/notice.html#/detail/23
网信
https://security.ncfgroup.com/detail/20.html
百度
http://sec.baidu.com/views/main/announce.html#detail/10
新浪
http://sec.sina.com.cn/Announce/view?id=51
蚂蚁金服
https://security.alipay.com/assessment.htm
携程
https://sec.ctrip.com/bulletin/34.html
东方财富
https://security.eastmoney.com/standard
挖财
https://sec.wacai.com/index.php?m=&c=page&a=view&id=4500
点融
https://security.dianrong.com/news/14/500
宜人贷
https://security.yirendai.com/news/notice/10
美团src
https://security.meituan.com/#/newsContent/169
平安银行
http://security.pingan.com/announcement/5.html
阿里src
https://security.alibaba.com/announcement/announcement?spm=0.0.0.0.oeezQS&id=146
京东src
https://security.jd.com/static/old_w/Public/file/JSRCV5.0.pdf