开放运营生态，漏洞管理能力共享：漏洞盒子企业SRC在京发布

漏洞盒子企业SRC发布 揭幕仪式

黑客攻击日益猖獗，企业信息网络安全威胁无处不在。2016年国家互联网应急中心CNCERT的监测显示，他们所发现的针对网站的攻击事件中，有超过70%是针对企业的。

本次漏洞盒子企业SRC发布会的一开始，CNCERT运行部副主任李佳与大家分享了当前形势下企业信息安全所面临的新挑战和新形势，并提到由于企业的经济活动在推进国家的经济发展与增长中所起到的重要作用，政府部门也对企业的网络信息安全建设愈加关注。

本次漏洞盒子新产品发布会的主题，由3个来自SRC的疑问引出：

自营SRC宣传效果不佳，运营成本却居高不下？

技术团队能力参差，漏洞审核愈发困难，如何提高效率？

漏洞管理平台日趋复杂，持续研发投入是否值得？

企业信息安全新挑战

同样作为政府代表在此次发布会现场进行发言的，还有中国网络安全产业联盟秘书长陈兴跃。他认为，在安全边界模糊的当下，政府也投入了很多力量研究信息安全产业的治理方式以及应对新挑战的创新建设方法，帮助形成良好的信息安全产业发展生态。

在网络安全产业生态里，除了作为产品服务主要提供方的网安企业之外，还有白帽子（网络安全工程师），政府管理机构和部门，行业协会，教育机构，第三方研究机构等等。产业发展需要调动各方资源，打造良好的发展生态，应对新形势下的挑战。

陈兴跃 中国网络安全产业联盟 秘书长

企业自营SRC的“痛点”

企业SRC，安全应急响应中心，自腾讯最早在2012年5月成立了自己的SRC，国内陆续也有多家企业跟进建立自营SRC，开启了企业加强安全方面投入的阶段。自营SRC以更开放透明的姿态，处理企业与白帽子之间的关系，但发展至今也逐渐暴露出一些问题。

斗象科技CTO张天琪提出的第一个问题点，在于建设与运营的关系。

从零开始建设和开发一个SRC平台，我们可以按照标准的流程可能很容易地实现，但搭建起来之后并不是结束，而是刚刚开始——如何吸引白帽子？吸引过来之后如何维护好合作关系？这个过程要有专门的漏洞审核人员、漏洞跟踪修复人员和技术运营人员跟进，因此就需要继续投入不少成本，让专业的人员和团队来持续性的做工作。

张天琪 斗象科技CTO

对于大企业来讲，资源虽然不是问题，但SRC毕竟不是核心业务，投入有限。而中小企业本身资源有限，重业务而轻安全是普遍现象，在安全当中的投入非常之有限，且人员配备不足。这也就是为什么很多企业SRC在建立之初尚可，但时间久了便后劲不足的原因。

除了企业是否能够维持住自营SRC的运营投入，在使用SRC的过程中业务的扩大导致不断产生的新需求，也需要企业配备专业的安全团队和研发人员进行SRC平台的长期迭代更新。随着时间不断增长的需求和资源投入，会成为维护自营SRC路上最大的障碍。

大多数企业自身一般不太会给安全团队再配置一个安全开发团队，因此对于SRC平台的各类产品层面的需求得不到及时的响应，或者在平台开发结束后就没人再去维护迭代了。

除了资源和专业团队的持续投入，还有涉及漏洞奖励费用、礼品发放、企业财务流程等各种大大小小的痛点。

漏洞盒子企业SRC：三年逆旅，初心依旧

漏洞盒子在经过三年行业历练，近500期漏洞测试项目，15万个漏洞处置，已建成了专业的产品团队、审核团队和用户社群以及成熟的漏洞收集体系与漏洞管理系统。

2017年，漏洞盒子决定开放运营生态和漏洞管理体系，全新发布针对企业的“漏洞盒子SRC”模式——独立于安全众测项目，专注能力于解决企业对于互联网漏洞的处置痛点，帮助企业以“全托管”或“半托管”形式处理各类互联网漏洞收集和管理场景。平台将依然站在独立第三方的立场上，为企业提供透明、保密、高效的SRC服务。

斗象科技产品经理来勇详细介绍了“漏洞盒子企业SRC”的功能特点

1. 平台对白帽子群体进行高度贴心的关心，并依技能和活跃度进行有效的区分和提供技能成长帮助；“白帽成功”团队会定期策划线上线下的活动，持续将白帽子生态服务推陈出新。

2. 平台提供专业的漏洞审核团队与漏洞处理体系，保证每个漏洞得到最科学的评估和高效的处理，漏洞管理稳定有序，平台功能与报表分析完备，企业个性化需求也将得到快速迭代和完善。

3. 企业可选择“全托管”或“半托管”模式，自主决定审核工作由企业自有团队进行或交由漏洞盒子团队代理。

4. 平台中，每个企业SRC均支持自定义主页门户、自定义悬赏金额、自定义发起活动以及多项可选模块，SRC白帽排行榜及运营体系完全独立，支持以API对接同步企业现有SRC数据（当然，礼品发货等麻烦事儿就统统交给漏洞盒子君啦^_^）

现场，也有企业代表谈到自营模式的痛点，并与漏洞盒子SRC进行对比。完美世界信息安全总监何艺在发言中表示，斗象公司出品的漏洞盒子企业SRC模式可以解决一些痛点，对一些企业和环境是个不错的选择。

当然了，斗象解决不了资源的问题，钱还是要公司去解决，但如果斗象能降低大家的安全成本，其实也是变相的解决资源问题了。

做企业与白帽子的连接者

企业用户在漏洞盒子企业SRC中的自主权还表现在企业自定义的门户主页，漏洞盒子企业SRC上提供了丰富的自定义模块，可自如实现与白帽子们的需求沟通。

那么一个企业到底在安全这一块投入了多少，愿意投入多少无从得知。但是白帽子很关心，毕竟花时间挖掘一个漏洞都不愿意它石沉大海。所以我们给了这个窗口，来展示作为企业的实力和态度。

——漏洞盒子产品经理 来勇

而对白帽子们而言，他们能更透明地了解企业的信息：从厂商主页了解企业需求，看到诸如企业运营数据、企业公告、漏洞规范等信息。其次，可以在提交漏洞后获得直接对应的漏洞积分，累计自己的名次。最重要的是，在漏洞盒子协力下的全新企业SRC在流程上缩短了漏洞奖励发放的周期，只需1-7天白帽子们即可在漏洞确认的阶段收到奖励。

联想安全应急响应中心@漏洞盒子企业SRC  lsrc.vulbox.com

告别单打独斗，共建之漫漫前路

据闻早在漏洞盒子企业SRC试运营阶段，就已有多个知名企业在入驻和对接中。在发布会上，我们还看到联想集团暨联想SRC作为入驻企业代表现场接过了荣誉授牌。

联想集团入驻漏洞盒子 授牌仪式

今天的漏洞盒子企业SRC的发布，链接了网络安全白帽子、企事业单位，更好的解决了在当前黑客攻击泛滥的情况下，企业网络安全威胁情报所获取的及时性、有效性和利用社会资源做安全的理念。

————中国网络安全产业联盟 秘书长 陈兴跃

从被动防御到主动响应，从自营SRC的兴起到“单打独斗”带来的实际运营中之困难，企业安全建设“路漫漫其修远兮”。

漏洞盒子三年逆旅中一路走来，不知觉间已积累了大量漏洞管理方面的经验和诸多客户信赖，可谓走的扎实。如今她试图开放能力，连接多方共建共赢生态。在我们看来，这兴许可端倪出信息安全产业仍在等待更多企业的成长，其成果且待时间慢慢向像我们展现了。

* FreeBuf官方报道，本文由作者Elaine现场报道，转载请注明来自FreeBuf.COM