有段时间没写文章,今天难得有想法在写代码忙碌之际抽时间给大家写篇文章。

这几周下来,OpenSSL、Struts2补丁绕过、IE 0Day。。。似乎一个个大洞不断啊,当安全越来越重要,各种互联网厂商也越来越重视安全的时候,各种SRC就如同雨后春笋般出来了。

前天,SGSRC,搜狗安全应急响应平台(http://www.0xsafe.com/#SGSRC)也上线了,然后跟5up3rc两个人通宵挖了一晚上的漏洞,兴奋的睡不着觉,不亦乐乎。今天就跟大家来说说SRC以及白帽子。

先来解释下什么叫做SRC,SRC是Security Response Center的简称,翻译过来也就是安全响应中心。安全应急响应中心是干什么的呢?简要的来说,安全应急响应中心就是响应处理一些安全事件,而大家平时最常见的估计就是各个互联网厂商的安全应急响应平台,也就是最常见的漏洞提交平台,这应该就是大家最常见到的。

其实安全影响中心具体做哪些事,因为没在甲方呆过,我也不是很清楚,主要就跟大家一起聊聊对于漏洞提交平台这个东西与白帽子的一些事。大家可以关注我在知乎的提问,等待甲方大牛的回答(http://www.zhihu.com/question/23623967)。

细数各厂商的漏洞提交平台,根据http://0xsafe.com上的记录,目前国内总的有大概有37家,记得在2013年TSRC出现之前,似乎一家都没有,大家最经常提交漏洞也是到wooyun上。

国内最早做安全应急响应中心的应该是腾讯安全应急响应中心,也就是TSRC,最开始TSRC刚出来,大家都在找漏洞提交漏洞,我记得我在TSRC上提交的第一个漏洞是腾讯游戏里的domxss。TSRC最开始搞的时候,也是按照积分排名方式,每个月按照当月提交的积分排名,然后根据排名进行奖励,最差的也是QQ公仔。记得当时即使没事也会每个月找上一两个,等着集齐12个公仔召唤神龙,哈哈。

对于积分方式,其实有时比较不好,比如说,排名前几的永远是比较厉害的人,好的奖品也永远是固定的几个人拿,后来就改为兑换方式,这样即使挖不动多少好洞的同学,通过累积积分也可以换一些自己想要的东西。

而随着安全的重要性逐渐提升,各个厂商投在安全的资金也逐渐提升,到现在已经有额外现金奖励的方式。   再来细数其他的SRC,大部分的SRC基本都是模仿TSRC的模式,只是可能每个SRC的审核标准和奖励不尽相同而已。

而对于白帽子来说,越来越多的SRC的出现,也算一件好事,以前发现漏洞总找不到地方提交,即使发了邮件,也不一定受理,或者根本不重视,有时甚至还要被追究责任,怎一个不爽了得。

在目前看来,国内的安全环境会越来越好,厂商会越来越重视安全,2013年和2014年是一个安全元年,大家加油把!

然后我继续码代码去了。。。哈哈