如何评价国内SRC纷纷上线“白帽子协议”?

2017年6月1日21:21分

某监狱里,对话如下:

犯人A:你们都是怎么来的?

犯人B:我是XX漏洞平台挖漏洞不小心进来的。

犯人C:我是XX平台路人甲,输错命令了rm -rf / (批量删除)

犯人D:我是某测评中心的忘了要授权了……

犯人E:我。。。就是那个在群里成天陪你们吹牛逼斗图的HELLEN啊!

犯人F:这下齐了,到底谁黑的我网站我不打死你,我是那个管理员站长。

……………………

黑客技术哪家强?中国监狱是天堂 !

没错,以上只是个段子。但是在6月1日那天,这条段子在安全圈的微信群里传得很广,因为那天《网络安全法》正式实施。

虽然安全圈里不少人都挺有自嘲精神的,但这些自黑的段子,明显也透露出几丝担忧,像是一段对白:

嘿,老铁,知道你没毛病,也没有坏心思,可好心办坏事的情况也不是没发生过。要是一不留神就犯了法进去了,那就太冤了。多注意点吧!

这种担忧并不是没依据的。提两个真事。

一个是去年闹得沸沸扬扬的“袁炜事件”。

2015年底,乌云漏洞平台的白帽子袁炜提交了一个世纪佳缘的安全漏洞,世纪佳缘确认并修补了这个漏洞,同时在乌云网上对白帽子表示致谢。但事后他们统计发现,有900多条有效数据被攻击者获取。

出于对信息安全的担忧,世纪佳缘选择了报警。警方调查后才发现只有袁炜一个人涉嫌此案。最后袁炜被检察院公诉,2016年4月被批准逮捕。

事件一出,整个安全圈都炸开锅了。随之而来的是各方对于白帽子行为边界的深刻讨论。

第二件事就发生在最近,不过没有上一个那么“刺激”。

6月1日 ,某知名互联网公司的安全应急响应中心(以下简称“SRC”) 发布了一篇公告,指出其平台上有白帽子不遵守平台漏洞测试原则,在未经他们授权的情况下擅自公开披露了一例漏洞细节。最后的结果是取消了该白帽子提交该漏洞的奖励。

公告一出,也是众说纷纭。有人觉得专挑《网络安全法》实施当天发公告,言辞还挺激烈,这是示威啊!也有人觉得这没毛病,就得按照法律和规则来,凡事讲道理嘛;

当事人白帽子也在其博客里指出,该SRC在发出公告之前,曾经在没通知的情况下,冻结了他账户下的所有漏洞奖励积分(包括之前挖漏洞的奖励),导致他无法兑换奖品。 虽然钱是小,但是让人很不爽啊!(还发了公告)

如何评价国内SRC纷纷上线白帽子协议?

▲ 图片来自当事人白帽子的博文

这两件事其实是企业和白帽子的矛盾关系在极端场景下的激活和爆发。什么矛盾呢?“又爱又怕”的矛盾。

企业对白帽子是又爱又怕的。

他们爱白帽子,因为后者能为帮他们发现不少安全漏洞,有时还给出修复方案,维护了他们的业务稳定;但他们又怕白帽子“放荡不羁爱自由”,懒得看法律条文和平台,按自己的行事逻辑办事。也怕白帽子因为对法律的不了解做出一些有争议的事。还怕有黑产分子假借白帽子的名义,伤了双方的感情,还败坏了白帽子的名声。

白帽子对企业也是又爱又怕。

他们喜欢挖漏洞带来的回馈,不仅包括物质上的礼物、奖金,更有精神上的鼓励——自己的ID出现在感谢名单上的自豪、组队挖漏洞带来的好基友和技术讨论氛围;同时他们也怕自己一不小心就背了锅,对方发来感谢并逮捕了自己,也怕自己的漏洞得不到认可。

好,那有没有办法让这种微妙的关系达到某种平衡,形成一种默契呢?将“怕”的那一部分尽量降低,减少大家的顾虑和畏惧呢?

其实各家企业的SRC和漏洞平台都在努力寻找这个答案。最终,他们选了一个还不错的解决方案:规则。

于是他们推出“白帽子协议”。

6月1日那天,超过19家企业的SRC组成了“SRC联盟”共同上线了“白帽子协议。

白帽子协议是什么?按照我的理解,白帽子协议是一个企业和白帽子之间的约定。

哪些事能干,哪些不能干,哪些需要提前打个招呼,咱提前都先交代好,签个协议点个“同意”,双方达成一致觉得没问题了,然后就可以继续开心地挖漏洞、刷榜和拿奖励了。

之后的相关情况都有限按照之前约定好的来,这样大家都服气。没什么争执,也不容易出问题。

如何评价国内SRC纷纷上线白帽子协议?

▲ 京东 JSRC 的白帽子协议页面截图

画外音:擦,这么多规矩,条条框框,不是让我们白帽子挖漏洞捆手捆脚了吗?

还真不是。我做个类比:

《网络安全法》制定之后,一开始也有不少人担心,觉得这会让安全从业者的活动空间越来越小,捆手捆脚。可后来人们发现,诶?长远看来,制定了规则,明确了边界反而让人更能安心来做事,知道底线和边界在哪,反倒能在边界之内放开手脚去干,不必畏首畏尾。

同样,漏洞平台和企业SRC也为白帽子制定“白帽子协议”,确定各自平台的规则和边界。这让白帽子也会心里有底,知道自己的权利和义务,可以在规则之下放开手脚,而不会迷迷糊糊做事,莫名其妙就出现了分歧和误会。

当然,如果白帽子不同意某个平台的协议,双方没有达成一致,那就干脆不要开始,这家不行就换别家挖嘛,至少不会出现撕逼和误会。

提前交代好权利义务和利害关系,对双方都是一种保护。

画外音 :SRC 非要同意协议才让挖漏洞,他们不怕这样弄得白帽子都“不敢”或者“不愿意”去帮他们挖漏洞了吗?

我把这个问题问了此次”白帽子协议“主导者之一京东JSRC的老大李学庆,他的回答原话是这样的:

这个问题我之前考虑过,也担忧过,但是我觉得让白帽子知道条款中的内容比担心白帽子不来我们平台挖漏洞更重要。

我不希望白帽子由于不知道条款中的内容,不知道网络安全法的严肃性而不小心给他们自己带来麻烦。

李学庆告诉雷锋网,当他们把“白帽子协议”以及网络安全普法的想法告诉陌陌等其他 SRC 的运营团队时才发现,大家原来都想到一块儿去了,各家 SRC 大多都有类似的想法。

一拍即合,最后居然有 19家 SRC 愿意一起做。此外还有其他SRC有类似的活动计划,只是因为节奏不一致所以很遗憾地没能一起来做。

宅客发现,前文提到的6月1日发公告“怼”了白帽子的那家SRC也在其中。(好吧其实就是网易 SRC ,不匿了)

从宅客的角度来看这个问题,无论是当事人白帽子在其博客公开把这件事的事前因后果说出来也好,网易 SRC 公开发布声明也好。

与其私底下解决,最后相互猜忌怀疑,不如像他们这样大大方方把事情摆在明面上来说。虽然这可能给人留下强势的印象,但至少能让其他白帽子知道他的原则和底线。

就像交朋友,脾气冲,但心直口快的人,可能一开始给人留下“强势”、“装逼”、“暴脾气”的印象,但这种人往往沟通交流更轻松直接,不会藏着掖着。

网易SRC作出公开发公告这件事也是有压力的。一般来说,大厂公关的标准流程通常是大事化小。但他们这次选择扮一次黑脸。选择当冲出到当那个心直口快,敢把事情挑明了说的人。

或许他们知道这公告会让一些白帽子不太舒服,甚至让自己平台的白帽子流失的。但也正如JSRC李学庆所说:

我觉得让白帽子知道条款中的内容比担心白帽子不来我们平台挖漏洞更重要。

把事情摆在明面上说,忍痛挖掉个脚底的烂疮,虽然一时剧烈疼痛,但也只有这样才能最终痊愈。而不是让它慢慢烂透。

JSRC 李学庆告诉雷锋网(公众号:雷锋网),仅仅看京东的JSRC的数据,上线白帽子协议一天后,就有69个白帽子阅读并同意了协议,到第三天的时候已经有超过100个白帽子阅读并同意了协议。

显然,越来越多的白帽子也意识到,规范起来,大家把事情讲明,也并非什么坏事。说出来,总比不说要好。

和 JSRC 的李学庆交谈的最后,他告诉雷锋网,

我一直认为安全响应中心的初衷是为了企业与安全从业者共同打造一个良性的安全生态。

所以我更希望所有的安全响应中心能够拿出更真诚的态度,联合所有的资源为白帽子做些实事。当然我也更加希望白帽子兄弟们能够不忘初衷,用自己的正道能力帮助企业弥补安全的不足。我坚信未来的中国安全将是领先的,健康的,受世界尊敬的。

也希望未来SRC和白帽子的关系能真的如此。



本文转自d1net(转载)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/289436.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

SQL Server数据库备份的镜像

SQL Server数据库备份的镜像 原文:SQL Server数据库备份的镜像SQL Server数据库备份的镜像 一个完整备份可以分开镜像 USE master GOBACKUP DATABASE [testdatabase] TO DISK NC:\testdatabase1.bak MIRROR TO DISK ND:\testdatabase2.bak WITH FORMAT, INIT GO 一个完整备份…

C# 观察文件的更改

使用 FileSystemWatcher 可以监视文件的更改。事件在创建、重命名、删除和更改文件时触发。这可用于如下场景:需要对文件的变更做出反应,例如,服务器上传文件时,或文件缓存在内存中,而缓存需要在文件更改时失效。因为 …

php 自动创建目录

2019独角兽企业重金招聘Python工程师标准>>> /*** 创建目录* param type $path* param type $mode* return type */public function rmkdir($path, $mode 0777) {return is_dir($path) || ( $this->rmkdir(dirname($path), $mode) && $this->_mkdir(…

油管螺纹尺寸对照表_yt15硬质合金刀片尺寸|A320焊接刀头参数

硬质合金刀片牌号表示方法如下图:yw1硬质合金刀片a320钨钛钴类硬质合金主要成分是碳化钨、碳化钛(TiC)及钴。其牌号由“YT”(“硬、钛”两字汉语拼音字首)和碳化钛平均含量组成。例如,YT15,表示平均碳化钛(TiC)15%,其余为碳化钨和…

python实验原理_Python实验报告八

安徽工程大学Python程序设计 班级:物流192 姓名:唐家豪 学号:3190505234 成绩: 日期:2020/06/03 指导老师:修宇 【实验目的】 : 掌握读写文本文件或 CSV 文件,进而对数据进行处理的方…

.NET 6 使用 Obfuscar 进行代码混淆

本文来安利大家 Obfuscar 这个好用的基于 MIT 协议开源的混淆工具。这是一个非常老牌的混淆工具,从 2014 年就对外分发,如今已有累计 495.5K 的 nuget 下载量。而且此工具也在不断持续迭代更新,完全支持 dotnet 6 版本,对 WPF 和 …

springmvc 传对象报400_那么火的SpringMVC到底有什么过人之处呢

先简单聊聊SpringMVC如果你们玩知乎,很可能会看到我的身影。我经常会去知乎水回答。在知乎有很多初学者都会问的一个问题:「我学习SpringMVC需要什么样的基础」我一定会让他们先学Servlet,再学SpringMVC的。虽然说我们在现实开发中几乎不会写…

matlab cftool代码_Matlab工具箱之拟合算法

和插值算法相比,拟合算法的优势在于拟合曲线不需要经过所有样本点,所以能降低函数的复杂程度。我们可以通过观察散点图目测拟合函数的大致形式,然后用最小二乘法计算待估参数。这时候Matlab就能发挥作用了,因为它提供了非常强大的…

WPF效果第一百七十八篇ItemsControl旋转

在前面分享的几篇中咱已经玩耍了Popup、ListBox多选、Grid动态分、RadioButton模板、控件的拖放效果、控件的置顶和置底、控件的锁定、自定义Window样式、动画效果、Expander控件、ListBox折叠列表、聊天窗口、ListBox图片消息、窗口抖动、语音发送、语音播放、语音播放问题、玩…

结对开发Ⅴ——循环一维数组求和最大的子数组

一、设计思路 (1)数据的存储结构是链表,最后一个结点的next指向第一个元素的结点; (2)数据个数为n,则最多有n*(n(n-1)...1)种情况(包括重复); (3&…

微软 MVP 福利大赏

前言成为微软 MVP 后, 可以获得微软提供的诸多福利。那具体有哪些福利呢?让我们一起来看看。行政表彰信行政表彰信宣布你的 MVP 身份,并恭祝你对技术社区的贡献。同时,概述了 MVP 项目的影响和意义。可以设置为 PDF 下载,也可以选…

canoco5主成分分析步骤_R语言 PCA主成分分析

微信公众号:生信小知识关注可了解更多的教程及生信知识。问题或建议,请公众号留言;R语言 PCA主成分分析前言统计学背景知识协方差相关系数函数总结实例讲解1.载入原始数据2.作主成分分析3.结果解读4.画主成分的碎石图并预测5.PCA结果绘制后记前言PCA分析…

物理专线流量平滑切换

在从传统IDC向云上迁移过程中,物理专线作为连接云上和云下的桥梁,在混合云架构中占有绝对重要的地位。作为基础设施,在伴随业务不断发展的过程当中,也会进行相应的更换升级。本文将介绍在物理专线特定情况下进行流量切换时&#x…

怎么实现动态设置静态文件存储目录?

前言文章名字有点绕口,举例说明一下:多用户使用同一个网站上传文件,但是因为一些原因,文件需要存储到服务器的不同目录下。比如用户 A 对应 c:\abc,用户 B 对应 d:\xyz\123。并且,文件需要以静态文件方式提…

编写函数判断一个数是否是回文数_程序员面试金典 - 面试题 01.04. 回文排列

题目难度: 简单原题链接 题目描述给定一个字符串,编写一个函数判定其是否为某个回文串的排列之一。回文串是指正反两个方向都一样的单词或短语。排列是指字母的重新排列。回文串不一定是字典当中的单词。示例 1:输入:"tactcoa" 输出…

Facebook为Messenger应用添加群组付款功能

Facebook在2015年为Messenger应用添加了好友免费转账功能。这个使得用户可以方便安全地向朋友转账,但是如果用户需要向多人支付,可能会耗费时间。幸运的是,Facebook已经通过其最新的Messenger应用更新解决了这个缺点。扩展付款功能现在允许用…

Xamarin.Forms 5.0 项目实战发布!

活动介绍本次活动主要是 .NET Xamarin.Forms 移动端项目开发实战教程, 与以往相同, 本次的收入(其它部分会另行说明) 将用于社区公益活动, 不限于:公益性质的个人/组织机构捐赠开源社区个人/项目捐赠内部投票活动本次的活动费用为:399元, 相对于去年组织的WPF公益实战视频而言,…

unity webgl读写txt文件_VB 读写txt文件

No.7 读写txt文件​mp.weixin.qq.com许多程序需要读写数据,比如商品管理,图书管理,学生档案等,当需要查询的时候,就是读取数据,新增或者更改就需要写数据,VB来讲,中小型的数据一般用…

地图投影系列介绍(一)----地球空间模型

1、现实世界和坐标空间的联系 任何空间特征都表示为地球表面的一个特定位置,而位置依赖于既定的坐标系来表示。 通过统一的坐标系和高程系,可以使不同源的GIS数据叠加在一起显示,以及执行空间分析。 2、地球空间模型描述

layui 数字步进器_图解全新奔驰S级:从“传统豪华”向“数字豪华”转型

全新奔驰S级的全球首发,中国这次也同步进行亮相。而且在全球首发之前的6个小时,就邀请了中国媒体提早进行品鉴。讲真,虽然之前我也不看好新S级,尤其是此前不知道在哪里泄露出来的图片,看着这台车的气场远不及W222来得强…