利用互联网把业务众包出去肯定算不上新概念,不过现在这种模式突然扎堆出现在了安全领域。
在以前,一个中小型的企业如果想做安全测试,往往需要向乙方公司交一笔不菲的费用,而且最终测试结果如何也难以评估;但新诞生的众包安全模式则有望利用互联网平台把安全这个相对封闭的行业规范、透明起来。
就像漏洞盒子创始人袁劲松所说的那样:做安全不应该一直封闭。漏洞盒子就正在以众包、透明的形式来做安全服务。
和其他众包模式类似,漏洞盒子也是提供一系列网络工具来对接安全人员(白帽子)和厂商。所以这类平台诞生之处就会面临一个问题:如何把白帽子和厂商同时吸引到自家平台上来?毕竟缺了任何一方,这样的平台就没法正常运转。
对于漏洞盒子来说,吸引白帽子这样的事情并不算难。由于其脱胎于国内的安全媒体Freebuf,所以在平台诞生之处就已经获得了一定数量的白帽子,其中甚至不乏国外的安全人员。在吸引厂商层面,除了Freebuf媒体之前积累下来的资源外,他们也会去主动联系一些厂商。现在腾讯、百度、阿里巴巴这样的公司都已经出现在了漏洞盒子的合作伙伴名单中。
在有了白帽子和厂商入驻之后,作为平台方当然是想办法设计合适的产品来对接双方的需求。在这样一个众包平台上,白帽子和厂商的需求都很简单。前者想实现自身价值并获利,后者则想解决潜在的安全隐患
基于此,漏洞盒子的平台上提供了“短期”和“长期”两种项目形式。
所谓短期项目就是厂商明确漏洞的测试范围、测试时间、有效的漏洞类型、是否提供现金奖励等条件,白帽子按照厂商的需求完成相关的测试工作进而获取收益。而长期项目则是厂商入住在漏洞盒子平台上,并提供安全测试人员可测试的范围、时间以及测试规则,然后通过漏洞盒子实行漏洞奖励计划。
在短期项目内,根据厂商的需求,漏洞盒子又提供“公开项目”和“私人项目”两种选择模式。“公开项目”顾名思义就是所有注册的测试人员均可查看漏洞详情并且参与项目。而由于某些项目对保密性和测试者资质有一定要求,所以这个时候漏洞盒子就会出面邀请一些相应领域的专家来做对应的项目,“私人项目”也就随之诞生了。
无论是哪一种项目,在漏洞盒子的平台上都会给出明确的漏洞处理状态,白帽子和厂商双方都可以跟踪整个项目的运行情况,这样以来整个安全测试工作对企业来说就不再是一个“黑匣子”,而且按效果付费的模式也让企业方可以更好的量化整个测试结果。
就像所有看上去有前景的互联网产品在中国都不乏竞争对手一样,漏洞盒子并不是国内唯一一家以众包模式做安全测试的,像乌云众测、Sobug安全众测平台都是在差不多的时间点上线的类似服务。腾讯安全应急响应中心在对比使用了几家的服务之后,认为测试平台的“保密性”、“专业性”、“合规性”、“流程和规范”会成为厂商的主要考量因素,而满足这些因素的平台自然能更好的获得厂商的青睐。
在安全行业,有一条著名的林纳斯定律,它说的是有“足够多的眼睛,就可让所有问题浮现(given enough eyeballs, all bugs are shallow)”。不过OpenSSL漏洞的事实告诉我们,只有足够多的眼睛还是不够的,配上合理的激励机制才能尽最大的可能性找出问题所在,而这正是这些众包安全测试平台在做的事情。