如何评价国内SRC纷纷上线“白帽子协议”?

2017年6月1日21:21分

某监狱里,对话如下:

犯人A:你们都是怎么来的?

犯人B:我是XX漏洞平台挖漏洞不小心进来的。

犯人C:我是XX平台路人甲,输错命令了rm -rf / (批量删除)

犯人D:我是某测评中心的忘了要授权了……

犯人E:我。。。就是那个在群里成天陪你们吹牛逼斗图的HELLEN啊!

犯人F:这下齐了,到底谁黑的我网站我不打死你,我是那个管理员站长。

……………………

黑客技术哪家强?中国监狱是天堂 !

没错,以上只是个段子。但是在6月1日那天,这条段子在安全圈的微信群里传得很广,因为那天《网络安全法》正式实施。

虽然安全圈里不少人都挺有自嘲精神的,但这些自黑的段子,明显也透露出几丝担忧,像是一段对白:

嘿,老铁,知道你没毛病,也没有坏心思,可好心办坏事的情况也不是没发生过。要是一不留神就犯了法进去了,那就太冤了。多注意点吧!

这种担忧并不是没依据的。提两个真事。

一个是去年闹得沸沸扬扬的“袁炜事件”。

2015年底,乌云漏洞平台的白帽子袁炜提交了一个世纪佳缘的安全漏洞,世纪佳缘确认并修补了这个漏洞,同时在乌云网上对白帽子表示致谢。但事后他们统计发现,有900多条有效数据被攻击者获取。

出于对信息安全的担忧,世纪佳缘选择了报警。警方调查后才发现只有袁炜一个人涉嫌此案。最后袁炜被检察院公诉,2016年4月被批准逮捕。

事件一出,整个安全圈都炸开锅了。随之而来的是各方对于白帽子行为边界的深刻讨论。

第二件事就发生在最近,不过没有上一个那么“刺激”。

6月1日 ,某知名互联网公司的安全应急响应中心(以下简称“SRC”) 发布了一篇公告,指出其平台上有白帽子不遵守平台漏洞测试原则,在未经他们授权的情况下擅自公开披露了一例漏洞细节。最后的结果是取消了该白帽子提交该漏洞的奖励。

公告一出,也是众说纷纭。有人觉得专挑《网络安全法》实施当天发公告,言辞还挺激烈,这是示威啊!也有人觉得这没毛病,就得按照法律和规则来,凡事讲道理嘛;

当事人白帽子也在其博客里指出,该SRC在发出公告之前,曾经在没通知的情况下,冻结了他账户下的所有漏洞奖励积分(包括之前挖漏洞的奖励),导致他无法兑换奖品。 虽然钱是小,但是让人很不爽啊!(还发了公告)

如何评价国内SRC纷纷上线白帽子协议?

▲ 图片来自当事人白帽子的博文

这两件事其实是企业和白帽子的矛盾关系在极端场景下的激活和爆发。什么矛盾呢?“又爱又怕”的矛盾。

企业对白帽子是又爱又怕的。

他们爱白帽子,因为后者能为帮他们发现不少安全漏洞,有时还给出修复方案,维护了他们的业务稳定;但他们又怕白帽子“放荡不羁爱自由”,懒得看法律条文和平台,按自己的行事逻辑办事。也怕白帽子因为对法律的不了解做出一些有争议的事。还怕有黑产分子假借白帽子的名义,伤了双方的感情,还败坏了白帽子的名声。

白帽子对企业也是又爱又怕。

他们喜欢挖漏洞带来的回馈,不仅包括物质上的礼物、奖金,更有精神上的鼓励——自己的ID出现在感谢名单上的自豪、组队挖漏洞带来的好基友和技术讨论氛围;同时他们也怕自己一不小心就背了锅,对方发来感谢并逮捕了自己,也怕自己的漏洞得不到认可。

好,那有没有办法让这种微妙的关系达到某种平衡,形成一种默契呢?将“怕”的那一部分尽量降低,减少大家的顾虑和畏惧呢?

其实各家企业的SRC和漏洞平台都在努力寻找这个答案。最终,他们选了一个还不错的解决方案:规则。

于是他们推出“白帽子协议”。

6月1日那天,超过19家企业的SRC组成了“SRC联盟”共同上线了“白帽子协议。

白帽子协议是什么?按照我的理解,白帽子协议是一个企业和白帽子之间的约定。

哪些事能干,哪些不能干,哪些需要提前打个招呼,咱提前都先交代好,签个协议点个“同意”,双方达成一致觉得没问题了,然后就可以继续开心地挖漏洞、刷榜和拿奖励了。

之后的相关情况都有限按照之前约定好的来,这样大家都服气。没什么争执,也不容易出问题。

如何评价国内SRC纷纷上线白帽子协议?

▲ 京东 JSRC 的白帽子协议页面截图

画外音:擦,这么多规矩,条条框框,不是让我们白帽子挖漏洞捆手捆脚了吗?

还真不是。我做个类比:

《网络安全法》制定之后,一开始也有不少人担心,觉得这会让安全从业者的活动空间越来越小,捆手捆脚。可后来人们发现,诶?长远看来,制定了规则,明确了边界反而让人更能安心来做事,知道底线和边界在哪,反倒能在边界之内放开手脚去干,不必畏首畏尾。

同样,漏洞平台和企业SRC也为白帽子制定“白帽子协议”,确定各自平台的规则和边界。这让白帽子也会心里有底,知道自己的权利和义务,可以在规则之下放开手脚,而不会迷迷糊糊做事,莫名其妙就出现了分歧和误会。

当然,如果白帽子不同意某个平台的协议,双方没有达成一致,那就干脆不要开始,这家不行就换别家挖嘛,至少不会出现撕逼和误会。

提前交代好权利义务和利害关系,对双方都是一种保护。

画外音 :SRC 非要同意协议才让挖漏洞,他们不怕这样弄得白帽子都“不敢”或者“不愿意”去帮他们挖漏洞了吗?

我把这个问题问了此次”白帽子协议“主导者之一京东JSRC的老大李学庆,他的回答原话是这样的:

这个问题我之前考虑过,也担忧过,但是我觉得让白帽子知道条款中的内容比担心白帽子不来我们平台挖漏洞更重要。

我不希望白帽子由于不知道条款中的内容,不知道网络安全法的严肃性而不小心给他们自己带来麻烦。

李学庆告诉雷锋网,当他们把“白帽子协议”以及网络安全普法的想法告诉陌陌等其他 SRC 的运营团队时才发现,大家原来都想到一块儿去了,各家 SRC 大多都有类似的想法。

一拍即合,最后居然有 19家 SRC 愿意一起做。此外还有其他SRC有类似的活动计划,只是因为节奏不一致所以很遗憾地没能一起来做。

宅客发现,前文提到的6月1日发公告“怼”了白帽子的那家SRC也在其中。(好吧其实就是网易 SRC ,不匿了)

从宅客的角度来看这个问题,无论是当事人白帽子在其博客公开把这件事的事前因后果说出来也好,网易 SRC 公开发布声明也好。

与其私底下解决,最后相互猜忌怀疑,不如像他们这样大大方方把事情摆在明面上来说。虽然这可能给人留下强势的印象,但至少能让其他白帽子知道他的原则和底线。

就像交朋友,脾气冲,但心直口快的人,可能一开始给人留下“强势”、“装逼”、“暴脾气”的印象,但这种人往往沟通交流更轻松直接,不会藏着掖着。

网易SRC作出公开发公告这件事也是有压力的。一般来说,大厂公关的标准流程通常是大事化小。但他们这次选择扮一次黑脸。选择当冲出到当那个心直口快,敢把事情挑明了说的人。

或许他们知道这公告会让一些白帽子不太舒服,甚至让自己平台的白帽子流失的。但也正如JSRC李学庆所说:

我觉得让白帽子知道条款中的内容比担心白帽子不来我们平台挖漏洞更重要。

把事情摆在明面上说,忍痛挖掉个脚底的烂疮,虽然一时剧烈疼痛,但也只有这样才能最终痊愈。而不是让它慢慢烂透。

JSRC 李学庆告诉雷锋网(公众号:雷锋网),仅仅看京东的JSRC的数据,上线白帽子协议一天后,就有69个白帽子阅读并同意了协议,到第三天的时候已经有超过100个白帽子阅读并同意了协议。

显然,越来越多的白帽子也意识到,规范起来,大家把事情讲明,也并非什么坏事。说出来,总比不说要好。

和 JSRC 的李学庆交谈的最后,他告诉雷锋网,

我一直认为安全响应中心的初衷是为了企业与安全从业者共同打造一个良性的安全生态。

所以我更希望所有的安全响应中心能够拿出更真诚的态度,联合所有的资源为白帽子做些实事。当然我也更加希望白帽子兄弟们能够不忘初衷,用自己的正道能力帮助企业弥补安全的不足。我坚信未来的中国安全将是领先的,健康的,受世界尊敬的。

也希望未来SRC和白帽子的关系能真的如此。



本文转自d1net(转载)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/289436.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

SQL Server数据库备份的镜像

SQL Server数据库备份的镜像 原文:SQL Server数据库备份的镜像SQL Server数据库备份的镜像 一个完整备份可以分开镜像 USE master GOBACKUP DATABASE [testdatabase] TO DISK NC:\testdatabase1.bak MIRROR TO DISK ND:\testdatabase2.bak WITH FORMAT, INIT GO 一个完整备份…

C# 观察文件的更改

使用 FileSystemWatcher 可以监视文件的更改。事件在创建、重命名、删除和更改文件时触发。这可用于如下场景:需要对文件的变更做出反应,例如,服务器上传文件时,或文件缓存在内存中,而缓存需要在文件更改时失效。因为 …

html5储存类型,html5本地存储-留言板

HTML5每日一练之JS API-本地存储LocalStorage 留言板 | 前端开发网(W3Cfuns.com)!var Storage {saveData:function()//保存数据{var data document.querySelector("#post textarea");if(data.value ! ""){var time new Date().getTime() Mat…

php 自动创建目录

2019独角兽企业重金招聘Python工程师标准>>> /*** 创建目录* param type $path* param type $mode* return type */public function rmkdir($path, $mode 0777) {return is_dir($path) || ( $this->rmkdir(dirname($path), $mode) && $this->_mkdir(…

油管螺纹尺寸对照表_yt15硬质合金刀片尺寸|A320焊接刀头参数

硬质合金刀片牌号表示方法如下图:yw1硬质合金刀片a320钨钛钴类硬质合金主要成分是碳化钨、碳化钛(TiC)及钴。其牌号由“YT”(“硬、钛”两字汉语拼音字首)和碳化钛平均含量组成。例如,YT15,表示平均碳化钛(TiC)15%,其余为碳化钨和…

python实验原理_Python实验报告八

安徽工程大学Python程序设计 班级:物流192 姓名:唐家豪 学号:3190505234 成绩: 日期:2020/06/03 指导老师:修宇 【实验目的】 : 掌握读写文本文件或 CSV 文件,进而对数据进行处理的方…

关于android MTK相机L版本,切换屏幕比例后,分辨率随之改变,但重新进入相机后原有分辨率不再生效问题...

BUG详细:比如4:3的时候是200W,切成全屏变400W,重新切回4:3为300W,退出相机后,重新进入又变成200W。 原因分析:这个版本的设计如此,当你点选屏幕比例的时候,程序设计是把这个比例值作…

.NET 6 使用 Obfuscar 进行代码混淆

本文来安利大家 Obfuscar 这个好用的基于 MIT 协议开源的混淆工具。这是一个非常老牌的混淆工具,从 2014 年就对外分发,如今已有累计 495.5K 的 nuget 下载量。而且此工具也在不断持续迭代更新,完全支持 dotnet 6 版本,对 WPF 和 …

html的canvas标签用法,html5中关于canvas标签用法(绘图)

标签只是图形容器,您必须使用脚本来绘制图形。用canvas配合javascript可以直接在html页面动态绘图,无需调用jquery。代码如下:var my_canvasdocument.getelementbyid("canvas"); //获取canvas的idvar contextmy_canvas.getcontext(…

C#生成二维码(含解码)

using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; using System.Drawing; using System.Linq; using System.Text; using System.Windows.Forms;using System.Collections; using com.google.zxing;//需要从网上下载 using S…

Android之在TextView里面部分文字变颜色并且可以点击

1、问题 在TextView里面部分文字变颜色并且可以点击 2、借助SpannableString SpannableString和String一样,是一种字符串类型 public void setSpan(Object what, int start, int end, int flags) {super.setSpan(what, start, end, flags);} what表示设置格式是,可以是可点…

springmvc 传对象报400_那么火的SpringMVC到底有什么过人之处呢

先简单聊聊SpringMVC如果你们玩知乎,很可能会看到我的身影。我经常会去知乎水回答。在知乎有很多初学者都会问的一个问题:「我学习SpringMVC需要什么样的基础」我一定会让他们先学Servlet,再学SpringMVC的。虽然说我们在现实开发中几乎不会写…

matlab cftool代码_Matlab工具箱之拟合算法

和插值算法相比,拟合算法的优势在于拟合曲线不需要经过所有样本点,所以能降低函数的复杂程度。我们可以通过观察散点图目测拟合函数的大致形式,然后用最小二乘法计算待估参数。这时候Matlab就能发挥作用了,因为它提供了非常强大的…

WPF效果第一百七十八篇ItemsControl旋转

在前面分享的几篇中咱已经玩耍了Popup、ListBox多选、Grid动态分、RadioButton模板、控件的拖放效果、控件的置顶和置底、控件的锁定、自定义Window样式、动画效果、Expander控件、ListBox折叠列表、聊天窗口、ListBox图片消息、窗口抖动、语音发送、语音播放、语音播放问题、玩…

计算机安全专家建议:尽快为电脑升级打补丁

新型“蠕虫”式勒索病毒爆发,国家网络与信息安全中心紧急通报 5月13日下午,国家网络与信息安全信息通报中心紧急通报:12日20时左右,新型“蠕虫”式勒索病毒爆发,目前已有100多个国家和地区的数万台电脑遭该勒索病毒感染…

大型网站技术架构02 网站的高性能架构、网站的可用性架构

大型网站核心架构要素 1. 性能 2. 可用性 3. 伸缩性 4. 扩展性 5. 安全性 瞬时响应:网站的高性能架构 1. 网站性能测试: 1). 不同视角下的网站性能 a. 用户视角的网站性能:用户计算机,网站服务器通信时间,网站服务器处…

DateTime.Now.Ticks.ToString()说明

一个以0.1纳秒为单位的时间戳,就是一个long型的数,其实DateTime本质上就是一个long型的,通过0.1纳秒的单位,换算成各种时间,如果分,秒,年月日等等这些组合起来就是一个DateTime类型了 举例&…

linux之 !!命令

1、问题 在linux终端,我们知道快速用上一个命令,我们可以是用”上“键,但是这个键是键盘的右边的键,那还有其建有这个效果吗? 2、解决 我们可以使用下面的命令 !! 是刚一个毕业的应届生跑到…

sq工程师是做什么的_算法工程师为什么成天做数据,都做哪些数据?

大家好,前几天群里有小伙伴说希望看到更多的算法工程师的日常。其实对于算法工程师而言,最大的日常就是做数据了,所以给大家分享一下做数据的那些事。为什么很少做模型在大家想象当中,可能算法工程师做的事情是今天看paper&#x…

编写html要注意,编写XHTML需要注意的问题以及和HTML的区别

文档必须是编排良好的元素必须嵌套,尽管SGML规定层叠非法,但现有的浏览器普遍允许层叠。正确:嵌套元素。here is an emphasized paragraph.不正确:层叠元素。here is an emphasized paragraph.嵌套与层叠元素和属性名必须小写对所…