随着众包(Crowd-sourcing)模式的兴起和发展,安全测试也进入了这一领域,对于中小企业来说,使用众包模式进行安全测试,相对自行组建安全团队或者购买安全服务更能节约成本,提高效率。
目前国内有2大安全众测平台:漏洞盒子、Sobug白帽众测。
所谓安全众测,就是众包(Crowd-sourcing)模式在安全测试领域的一种表现,也就是企业把自己的产品给到安全众测平台,由平台的安全人员进行安全测试。
这种众包模式对没有自己的安全团队的中小企业帮助较大,可以低成本地发现和修复安全问题。对于有自己的安全团队的大型企业,也非常有用,第三方的安全测试报告可以帮助安全团队从另外的角度审视自己的能力和系统。
如果按照上述定义,腾讯安全应急响应中心(TSRC)的漏洞提交平台( http://security.tencent.com )也算是一个厂商自己的安全众测平台,不过没有固定的项目,而是所有产品线无限期参与众测。
1、漏洞盒子众测
漏洞盒子(https://www.vulbox.com )是国内著名的安全媒体Freebuf( http://www.freebuf.com)推出的漏洞发现与处理平台,它依托Freebuf,影响力和能力也非常强大,漏洞盒子也是目前唯一有国外白帽子的众包安全测试平台。
2、Sobug白帽众测
Sobug白帽众测平台( http://www.Sobug.com)是新成立不久的团队,创始人是前腾讯员工。由于创立不久,网站稳定性稍逊一筹,整体评价在流程和体验上会有一些小问题,不过团队整体迭代速度很快,出现的问题都会在很短的时间内解决,目前,Sobug已正式发布。
以厂商的视角来谈谈对安全众测平台的期望。
其实,厂商之所以参与众测,就是希望平台上的众多白帽子能以不同的视角去发现产品安全问题,并协助修复,所以厂商对平台的忧虑主要包括:
保密性,厂商首先要考虑的是漏洞的保密问题,安全众测平台本身就是独立于厂商的第三方,平台还可以问责,但白帽子是独立于平台之外的,白帽子人品是否可靠,这是厂商最担心的。
专业性,参与众测的厂商大部分应该是中小企业,这部分用户本身对安全技术的理解能力有限,白帽子的报告如果写得很随意,比如修复方案写"你懂的",这对厂商来说就不是很好,平台的核心是白帽子,在2大平台竞争的环境下如何留住能力很强的白帽子,也是对平台的一个考验。
合规性,企业都有相关的经费使用流程,所以签订合同是必须的,同时,有了合同也可以避免后期在金额上的分歧,也是企业漏洞不被滥用的合法保障。
流程和体验,这个就只能排最后了,毕竟,厂商找众测是发现和修复漏洞,流程不完善可以,但是在同等能力的情况下,流程和体验就会成为脱颖而出的重要因素了。
只要哪个众测平台能够解决以上问题,相信未来都会有很多发展空间。
可以看到,安全众测这个市场才起步,还有很多地方可以完善,这个市场需求也很大,相信如果有团队持之以恒地去探索和改进,这对白帽子、企业和平台本身甚至行业都是有利的。