压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

京東安全經(jīng)理李學(xué)慶跟我們分享”互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心建設(shè)與運(yùn)營”。

李學(xué)慶：大家好，我是來自京東商城的李學(xué)慶，現(xiàn)在在京東主要負(fù)責(zé)安全測試中心和安全響應(yīng)中心。我2011年入職京東，當(dāng)時(shí)京東對(duì)于安全來說也是空白，一點(diǎn)點(diǎn)來做。

京東的理念是讓購物變得簡單、快樂！

為什么今天我要分享這個(gè)議題呢？我在去年到現(xiàn)在為止都有很多公司問我，學(xué)慶，當(dāng)我發(fā)現(xiàn)一些漏洞的時(shí)候，這些漏洞已經(jīng)在其他平臺(tái)傳播了，這對(duì)公司的影響非常不好，應(yīng)該怎么把安全響應(yīng)中心搭建起來，后續(xù)如何運(yùn)營？今天借此機(jī)會(huì)和大家一起分享一下安全響應(yīng)中心如何搭建和運(yùn)營。

現(xiàn)在為止各個(gè)互聯(lián)網(wǎng)公司，包括電商公司，已經(jīng)陸陸續(xù)續(xù)在開始搭建自己的安全響應(yīng)中心。最開始就是騰訊的”二胡”是最開始搭建平臺(tái)的，當(dāng)時(shí)也給行業(yè)里面做了一個(gè)領(lǐng)頭的模范作用。等它做出來之后，對(duì)大家的影響很大，但是對(duì)這個(gè)平臺(tái)爭論也非常多，最終走到了現(xiàn)在，也對(duì)于自己的平臺(tái)、對(duì)于自己的公司做了很大的貢獻(xiàn)。包括阿里、百度，還有后續(xù)跟著的攜程、網(wǎng)易都在慢慢把自己的平臺(tái)建設(shè)起來，建設(shè)起來之后，可能大家想到了一點(diǎn)，就是說這個(gè)平臺(tái)到底做什么？它的初衷到底是什么？

安全響應(yīng)中心建設(shè)初衷：1、投遞無門的企業(yè)入口。當(dāng)所有外面的一些黑客，外面做安全的人，發(fā)現(xiàn)這個(gè)網(wǎng)站有漏洞的時(shí)候，他沒有地方去提，也不知道給誰，所以就會(huì)想到一些辦法，比如有一些微博賬號(hào)，用微博一種宣傳的力度去告訴別人這個(gè)網(wǎng)站現(xiàn)在有一些安全問題，這樣進(jìn)行傳播，但是在這個(gè)過程中可能給自己的公司造成一些不好的影響。2、所有的安全漏洞對(duì)于安全來說應(yīng)該有一些價(jià)值的，所以在這里面需要有一些產(chǎn)出比，作為一個(gè)甲方公司、作為一個(gè)互聯(lián)網(wǎng)公司、作為一個(gè)電商公司，需要合理的去兌換別人創(chuàng)造的這個(gè)價(jià)值。3、需要回收外界一些安全風(fēng)險(xiǎn)，可能京東現(xiàn)在樹大招風(fēng)，時(shí)不時(shí)有一些安全風(fēng)險(xiǎn)出來。2010年也沒有安全中心，安全部門也是剛剛成立，在這種時(shí)候有很多其他的平臺(tái)，包括一些其他人員在發(fā)一些京東信息的時(shí)候，包括有一些惡意炒作的時(shí)候，就會(huì)給京東帶來很大的影響。這種影響不僅僅是技術(shù)部門成本上的增加，還包括其他部門配合，非常非常多的成本。我們需要去回收未知的一些外界風(fēng)險(xiǎn)。4、招納賢人的專業(yè)平臺(tái)。圈里安全人才本身特別少，特別稀缺，這些技術(shù)比較不錯(cuò)的又全部被BAT挖走了，這樣就會(huì)帶來很多人才吸納不到自己公司的，所以我們也需要這樣一些平臺(tái)，這些人熟悉我的業(yè)務(wù)的。我們也是在自己平臺(tái)里面找到了一些對(duì)于京東業(yè)務(wù)非常了解，而且他的專業(yè)技能非常不錯(cuò)的人才，現(xiàn)在已經(jīng)是入職京東了，所以是非常好的平臺(tái)。

如何建設(shè)安全響應(yīng)中心。

在建設(shè)安全響應(yīng)中心中一些重要的節(jié)點(diǎn)，需要去注意的一些事情。

1、要建立安全響應(yīng)中心的前提就是要先了解自己公司有哪些業(yè)務(wù)；2、需要把所有的業(yè)務(wù)做一個(gè)定義級(jí)別；3、評(píng)分標(biāo)準(zhǔn)；4、響應(yīng)流程；5、業(yè)務(wù)自檢。

1、梳理業(yè)務(wù)。

不是簡簡單單運(yùn)維把他的一些信息給你，你用他的信息去做一些事情，不是這樣去處理的，而是你作為一個(gè)安全部門，作為一個(gè)安全響應(yīng)中心成員，把業(yè)務(wù)按照域名和IP這種方式去梳理，梳理的維度可以分成內(nèi)外、部門、負(fù)責(zé)人。梳理完了之后是針對(duì)后續(xù)我們?nèi)ピu(píng)級(jí)和我們真正去定位這個(gè)問題是誰處理是非常有用的。現(xiàn)在京東開始籌劃安全響應(yīng)中心的時(shí)候，把所有業(yè)務(wù)全部梳理了一遍，按照這種形式梳理出一個(gè)非常明確的列表，我們自己平臺(tái)里一直在收錄和更新。

端口方面我們一直做一些事情，哪些端口可以對(duì)外，哪些端口不能對(duì)外，這個(gè)應(yīng)該非常清晰。針對(duì)于所有驚動(dòng)冷知IP對(duì)外的端口都要進(jìn)行監(jiān)控，出現(xiàn)異常端口了就立即會(huì)報(bào)警，這種東西是需要有一些非常明確的列表。

如果公司的業(yè)務(wù)多的話，需要把業(yè)務(wù)劃成不同的業(yè)務(wù)線，這是京東從去年年底就開始做的一件事情，京東把自己所有的業(yè)務(wù)，包括自己子公司，包括自己合并拍拍的業(yè)務(wù)全部放在一起，現(xiàn)在劃成八大業(yè)務(wù)線，其中每個(gè)業(yè)務(wù)線都有自己的安全官。安全官做的事情全權(quán)負(fù)責(zé)這個(gè)業(yè)務(wù)線里面的安全提升，包括他的安全上線檢測、安全運(yùn)行檢查、安全培訓(xùn)，包括這個(gè)部門的安全開發(fā)、安全開發(fā)規(guī)范，這些東西全部都由這個(gè)人來做。這個(gè)明確好之后，一旦出現(xiàn)安全事件之后，第一個(gè)想到的人就是他。

確定業(yè)務(wù)安全接口人員。受到公司文化影響，可能會(huì)遇到這種情況，當(dāng)你把這個(gè)問題提出來之后沒人理你，或者你把這個(gè)問題提出來之后，等到一個(gè)星期或兩個(gè)星期才能響應(yīng)，這對(duì)于安全問題是不允許的，當(dāng)出現(xiàn)安全問題的時(shí)候，第一時(shí)間由這個(gè)業(yè)務(wù)接口人，由這個(gè)人全權(quán)去掌控這個(gè)部門安全上面的一些漏洞修復(fù)進(jìn)度，需要他去管控。需要把這些東西梳理好之后，才能再往下做。

2、定義級(jí)別。

對(duì)于自己公司來說應(yīng)該會(huì)有一些內(nèi)容，可能會(huì)有自己一些級(jí)別的判斷，對(duì)于安全來說也是一樣，可以結(jié)合自己公司業(yè)務(wù)的分級(jí)再做一些安全的分級(jí)。

內(nèi)外網(wǎng)是比較重要的，如果這個(gè)業(yè)務(wù)是內(nèi)部的，優(yōu)先級(jí)稍微往后排一排，只要對(duì)外的，即使是非常簡單的網(wǎng)站，也是影響級(jí)很高的。上面跑的是什么業(yè)務(wù)？京東跑的www主站，如果上面出現(xiàn)特別小的一個(gè)問題，需要第一時(shí)間去處理。交易，涉及到交易的，每一個(gè)流程都需要探討它的優(yōu)先級(jí)是什么，特別是有支付還有電商的一些平臺(tái)，對(duì)于這種東西應(yīng)該是非常敏感的。支付、交易、賬戶方面，公司規(guī)模大一些都會(huì)把這些東西單獨(dú)拎出來，比如賬號(hào)方面，京東會(huì)有一個(gè)部門專門做它的風(fēng)控，支付也是專門有人去搞，交易是專門有一個(gè)大的部門負(fù)責(zé)，包括一些詐騙的事情都會(huì)負(fù)責(zé)

影響。這個(gè)網(wǎng)站如果出現(xiàn)問題以后，對(duì)公司的影響到底有多大，這個(gè)需要權(quán)衡。權(quán)衡好了之后再把這個(gè)東西定級(jí)，這個(gè)東西到底是哪個(gè)級(jí)別的。京東也有級(jí)別的劃分，現(xiàn)在是針對(duì)于級(jí)別P0、P1、P2去排的，P0是最高的，包括京東6.18的時(shí)候，當(dāng)時(shí)老板為了出現(xiàn)問題之后，問題跟蹤效率提高，專門建了一個(gè)群，出現(xiàn)問題馬上進(jìn)行解決。當(dāng)你知道哪些是屬于自己的一些核心系統(tǒng)的時(shí)候，才知道哪些是需要你去快速響應(yīng)的，這是需要提前定義好的。

3、評(píng)分標(biāo)準(zhǔn)。

每個(gè)公司的評(píng)分標(biāo)準(zhǔn)都是不一樣的，可以根據(jù)自己公司的一些業(yè)務(wù)定，現(xiàn)在每個(gè)公司可以根據(jù)自己公司的一些業(yè)務(wù)情況。現(xiàn)在整體來看，第一排行比較高的評(píng)分標(biāo)準(zhǔn)是騰訊，其次是阿里、京東相對(duì)來說比較高一些。上面領(lǐng)導(dǎo)非常重視這件事情，覺得這個(gè)做完之后是有價(jià)值的。但是大家也要記住一點(diǎn)，每做一個(gè)評(píng)分標(biāo)準(zhǔn)里面的內(nèi)容都是真金白銀，需要自己公司里面部門的預(yù)算或部門長期的一些展望定制好。定制好之后，這個(gè)評(píng)分標(biāo)準(zhǔn)需要對(duì)外做一些宣傳，而且要把這個(gè)東西直接給公示出來。如果開始建設(shè)平臺(tái)的時(shí)候，建議做一個(gè)相對(duì)保守的評(píng)分標(biāo)準(zhǔn)出來，當(dāng)這個(gè)平臺(tái)在線上運(yùn)營兩三個(gè)月，OK，比較穩(wěn)定了，知道我們自己公司的漏洞到底趨于什么方向、什么級(jí)別比較多了，把這些東西定義好，這個(gè)積分是否可以考慮往上調(diào)，這是一個(gè)方法。

JSRC在去年底提出一個(gè)”三個(gè)積分帶你飛”，當(dāng)時(shí)那個(gè)活動(dòng)就是專門為我們后續(xù)把這個(gè)積分提升上去做的一個(gè)預(yù)熱活動(dòng)，而且作為一個(gè)參考，把這個(gè)積分提上去之后，我們的漏洞會(huì)不會(huì)增加。這個(gè)”白帽子”對(duì)于我們來說是積極程度不高，還是有些漏洞沒有提上來，從這種方式能夠發(fā)現(xiàn)一些問題，最終這個(gè)東西應(yīng)用了之后，我們發(fā)現(xiàn)有些嚴(yán)重漏洞就過來了，大家響應(yīng)的活躍度也高了。但是在這一個(gè)月當(dāng)中，評(píng)分出今年一年的預(yù)算是多少，所以后續(xù)才敢大膽把積分全部變成三類積分，這中間用寫環(huán)節(jié)需要大家去考慮，需要有些斟酌點(diǎn)的。騰訊開始上的時(shí)候，刷了很多的漏洞，按照這個(gè)漏洞會(huì)需要很多很多錢。這就是提前準(zhǔn)備沒有做好，另外沒有明確的定義。如果大家在做JSRC的時(shí)候，評(píng)分標(biāo)準(zhǔn)先要定好，然后試運(yùn)營，之后再考慮怎么上，這就是評(píng)分標(biāo)準(zhǔn)。

4、響應(yīng)流程。

剛才提到對(duì)外如何去評(píng)分、如何做這個(gè)事情？現(xiàn)在怎么約束內(nèi)部，怎么響應(yīng)外部提交的漏洞。我們需要定義一個(gè)安全事件的處理以及響應(yīng)規(guī)范，告訴大家我們公司分為哪幾個(gè)來源的漏洞，怎么去響應(yīng)，應(yīng)該響應(yīng)到什么級(jí)別，每個(gè)級(jí)別的響應(yīng)時(shí)間是什么時(shí)間，都在這里面定出來了。

京東有幾個(gè)：1、自己上線測試，和阿里是一樣的，所有上線的項(xiàng)目都需要經(jīng)過安全部門審批。安全部門沒有測試通過的狀態(tài)是永遠(yuǎn)上不了線的。就是上線這邊會(huì)產(chǎn)生一些漏洞，上線的漏洞出現(xiàn)以后，這是自主發(fā)現(xiàn)，自主發(fā)現(xiàn)也分高中低不同的級(jí)別，如果是嚴(yán)重，就會(huì)把這個(gè)漏洞直接抄送到他們的部門老大、他們的VP，包括我們整個(gè)大的部門的VP。

響應(yīng)時(shí)間，我們針對(duì)不同級(jí)別的響應(yīng)時(shí)間，嚴(yán)重是1天，高是3天，中是7天，低是14天，是這樣一個(gè)級(jí)別。但現(xiàn)在我們響應(yīng)速度已經(jīng)達(dá)到嚴(yán)重的半天就可以解決。從事件推動(dòng)到業(yè)務(wù)推動(dòng)，慢慢把這個(gè)東西給推起來，大家就慢慢重視起來了。

我們不僅針對(duì)于嚴(yán)重漏洞還有不同級(jí)別去定義，其中我們針對(duì)于嚴(yán)重漏洞會(huì)單獨(dú)發(fā)出一個(gè)郵件，這個(gè)郵件抄送人員級(jí)別是非常高的，技術(shù)研發(fā)管理部的老大，包括CTO都會(huì)被抄送到，包括我們現(xiàn)在每周都會(huì)自己發(fā)現(xiàn)、外部發(fā)現(xiàn)，都會(huì)去抄，這樣就會(huì)把安全的工作推上一個(gè)階段。

例行檢查，發(fā)現(xiàn)一些嚴(yán)重問題的時(shí)候，突然有一天出現(xiàn)一個(gè)IP啟用了，之后開了20多個(gè)口，發(fā)現(xiàn)漏洞，第一時(shí)間短信就會(huì)發(fā)到我們手里，因?yàn)檫@種東西是非常嚴(yán)重的，嚴(yán)重的問題就需要有這樣一個(gè)表格。如果這個(gè)問題解決了，誰來響應(yīng)這個(gè)事情，漏洞的描述，包括漏洞截圖都會(huì)在里面寫的非常詳細(xì)。基本上有這樣一個(gè)詳細(xì)的列表出來之后，有這樣一個(gè)推送抄送機(jī)制出來以后，我相信沒有任何一個(gè)部門會(huì)看到他的VP能看到的郵件而不去想這個(gè)事情的。當(dāng)你用這種方式去推動(dòng)這個(gè)事情來建立響應(yīng)規(guī)范之后，就能夠建立好內(nèi)部的響應(yīng)流程，這就是根據(jù)響應(yīng)流程需要做的事情。

5、業(yè)務(wù)自檢。

如果你現(xiàn)在上一個(gè)新平臺(tái)，積分兌換也都可以，很多人如果關(guān)注過來了，恨不得把你的預(yù)算全部一天刷光，就會(huì)出現(xiàn)這種情況。大家做的一個(gè)事情是需要自己去做一些針對(duì)于所有業(yè)務(wù)的檢查，包括業(yè)務(wù)梳理，當(dāng)梳理完之后，先對(duì)我的外部系統(tǒng)、重要的業(yè)務(wù)進(jìn)行檢查，然后再進(jìn)行P0、P1、P2級(jí)的檢查。

手工排查。可能有一些重要業(yè)務(wù)需要手工去看，有沒有業(yè)務(wù)上的一些問題。容易出現(xiàn)的一些問題，出現(xiàn)水客攻擊，這種容易被刷爆，應(yīng)該去定位一些基礎(chǔ)通用的安全漏洞，在你公司整體的排查力，不要被別人刷單。

工具檢測。現(xiàn)在有很多比較成熟、安全的一些工具，可以針對(duì)自己所有業(yè)務(wù)進(jìn)行統(tǒng)一排查，很多人做這個(gè)事情都怎么做的？今天上班了，我在家里面部署的幾臺(tái)虛的服務(wù)器，在每臺(tái)上面部署一個(gè)安全攻略，然后去跑，回家之黑就直接看有哪些漏洞，然后提交上去，非常低廉的方式。但是這種方式針對(duì)于自己公司來說可以把這個(gè)東西杜絕，所以需要提前把這些工作全部做到位，包括手工和工具上的一些檢測，把這些問題全部修補(bǔ)以后再去考慮這些事情。

如果手工和工具都沒有一些思路去做的話，現(xiàn)在有一些比較成型的眾測項(xiàng)目也是比較不錯(cuò)的，可以投入少量費(fèi)用，先讓大家去評(píng)估一下安全風(fēng)險(xiǎn)，真正了解安全風(fēng)險(xiǎn)以后，把問題修復(fù)之后才有膽量去考慮這個(gè)東西我什么時(shí)間去推，什么時(shí)間正式上線。

當(dāng)把這些所有內(nèi)容都已經(jīng)做好之后，可能就可以對(duì)外去發(fā)布了。發(fā)布之后后續(xù)就會(huì)遇到一些事情，怎么去響應(yīng)外面的一些流程、響應(yīng)外面的一些漏洞，這里涉及到運(yùn)營。不是發(fā)現(xiàn)這個(gè)漏洞之后去處理，真正安全響應(yīng)中心不僅僅是梳理漏洞和處理漏洞，有很多事情可做。這里給大家解讀一下：

第一，安全響應(yīng)中心提交過來的漏洞一定要7×24小時(shí)，一定要跟接報(bào)平臺(tái)做一個(gè)監(jiān)控。現(xiàn)在京東對(duì)于所有外部接到的漏洞都會(huì)第一時(shí)間發(fā)短信過來，而且可以看到它的級(jí)別，包括一些第三方的平臺(tái)都是第一時(shí)間。但是不管是幾點(diǎn)發(fā)過來的短信，我們有專門的安全人員會(huì)對(duì)它進(jìn)行判斷，如果是夜里2點(diǎn)發(fā)現(xiàn)嚴(yán)重漏洞，評(píng)估是嚴(yán)重，OK，進(jìn)行處理，這是必須第一時(shí)間去處理的。一定要及時(shí)響應(yīng)JSRC當(dāng)中提報(bào)過來的漏洞，而且提前保證有人跟蹤這個(gè)事情。當(dāng)發(fā)現(xiàn)有漏洞之后，第一個(gè)要去識(shí)別它是哪塊業(yè)務(wù)，然后再去看這個(gè)漏洞應(yīng)該哪個(gè)業(yè)務(wù)線的負(fù)責(zé)人去處理，這就是他們做的事情。

第二，及時(shí)溝通。漏洞到自己平臺(tái)之后，需要和白帽子直接做一個(gè)簡單的交流溝通，到底是怎么發(fā)現(xiàn)的。其實(shí)這個(gè)過程不是我們要把這個(gè)漏洞直接拿過來或者怎么樣，需要有自己的一些沉淀，針對(duì)于你發(fā)現(xiàn)這個(gè)問題之后，它的思路到底是什么樣的，需要你去掌握，放到自己解決方法當(dāng)中去。

針對(duì)于平臺(tái)當(dāng)中統(tǒng)一官方語言回復(fù)模式也是非常有必要的，前段時(shí)間有一篇文章中寫到這一點(diǎn)，統(tǒng)一官方語言回復(fù)模式。每個(gè)人員自己對(duì)外的語言不是特別標(biāo)準(zhǔn)，所以出現(xiàn)外界媒體、外界其他比較官方人員的轉(zhuǎn)播，使事態(tài)比較嚴(yán)重，所以我們就需要有一些官方的回復(fù)。

如果有異議，千萬不要去評(píng)漏洞，白帽子覺得是一個(gè)嚴(yán)重的漏洞，內(nèi)部覺得是一個(gè)低的漏洞，本來能評(píng)4500元，結(jié)果評(píng)了以后只能拿到500元，這樣雙方容易造成矛盾，這些時(shí)候需要有官方人員把這個(gè)問題解決掉。我們專門有漏洞評(píng)審人員，覺得這個(gè)東西有歧異的話和白帽子人員溝通，再有歧異就有安全專家和白帽子進(jìn)行技術(shù)方面的交流。

針對(duì)于自己平臺(tái)一些白帽子需要怎么去做？需要維系自己一些白帽子。因?yàn)樗麄兡転槟銈冋页鲆恍┌踩系膯栴}，這是很多其他公司沒有這個(gè)平臺(tái)是做不到的，所以需要去分析平臺(tái)的白帽子的區(qū)域，應(yīng)該在哪塊搞一個(gè)沙龍，讓大家有一個(gè)在線上交流的方式。我們現(xiàn)在平臺(tái)做到一點(diǎn)，我們所有白帽子的分布區(qū)域，包括每個(gè)區(qū)域提交漏洞的質(zhì)量、提供的價(jià)值是多少，我們都在里面分析出來。今年舉辦了兩次安全沙龍，就是我們從上面選出來的，按照TOP來排的，第一個(gè)在哪，第二個(gè)在哪，這樣去排，來維系我們自己的白帽子，來看看我們白帽子在哪塊，跟他們?nèi)贤ā?/p>

第三，及時(shí)將近。當(dāng)所有的漏洞提交到你自己平臺(tái)的時(shí)候，要做的事情就是及時(shí)去改進(jìn)這些問題，包括怎么去處理，京東有自己的一個(gè)平臺(tái)，叫”菊花臺(tái)”，包含漏洞類型，包括獲得的積分，誰提交的，提交時(shí)間。我們針對(duì)于不同級(jí)別的漏洞，給它定一個(gè)時(shí)間，當(dāng)一個(gè)嚴(yán)重漏洞出現(xiàn)之后，應(yīng)該是一天解決的，到了一天的70%了，就可以給這個(gè)人發(fā)警告，告訴嚴(yán)重漏洞沒有處理完，如果這個(gè)漏洞已經(jīng)到達(dá)百分之百了，直接會(huì)把這個(gè)東西上報(bào)他上級(jí)領(lǐng)導(dǎo)，這個(gè)東西已經(jīng)超時(shí)了，必須緊急處理，如果不處理，需要你們部門最高領(lǐng)導(dǎo)去回復(fù)你，告訴你這個(gè)問題為什么沒處理。

針對(duì)所有的漏洞會(huì)有一個(gè)狀態(tài)，當(dāng)提交之后會(huì)讀取修復(fù)狀態(tài)，當(dāng)解決的時(shí)候會(huì)變成解決，關(guān)閉的時(shí)候會(huì)變成關(guān)閉。

第四，及時(shí)跟蹤。所有的狀態(tài)白帽子都是可以看到的，包括處理、修復(fù)，這個(gè)問題是否已經(jīng)忽略，包括每一步是誰處理的都會(huì)在這里面去記錄，這個(gè)評(píng)分是誰給的也都會(huì)有。這樣才能保證能夠快速、準(zhǔn)確把這個(gè)問題解決掉。

及時(shí)跟蹤只是我們針對(duì)這個(gè)漏洞層面去跟蹤的，下一個(gè)跟蹤是針對(duì)于JSRC可以運(yùn)營的跟蹤，今年針對(duì)于JSRC投入的多少錢，成本是多少，需要去考量，包括現(xiàn)在漏洞的價(jià)值是否已經(jīng)超越了整體一年價(jià)值的預(yù)算，需要有一個(gè)考量。我們現(xiàn)在做的一件事情，每天都會(huì)把JSRC所有運(yùn)營情況發(fā)給我這邊，把每天、每個(gè)月的漏洞價(jià)值的趨勢，到底超沒超我們的預(yù)算，這個(gè)需要算出來的。如果最近一段時(shí)間漏洞價(jià)格一直在往下降，證明我們運(yùn)營上面是否出現(xiàn)問題了，就需要有些活動(dòng)，是否調(diào)研一下白帽子對(duì)京東這邊有什么想法。這是有一個(gè)針對(duì)自己平臺(tái)的參考。這只是簡簡單單可以根據(jù)自己的平臺(tái)建立一些其他維度的標(biāo)準(zhǔn)。

第五，及時(shí)沉淀。我們需要有一個(gè)東西把JSRC里面的內(nèi)容沉淀下來。因?yàn)槲覀兓撕芏嗪芏噱X在JSRC上面，我們拿錢去買外界提交給我們的漏洞，這些漏洞我們?cè)趺慈マD(zhuǎn)化成自己的一些財(cái)富，需要我們自己去做，所以需要有一些東西及時(shí)去沉淀。我們針對(duì)于JSRC提報(bào)過來的漏洞，新的思路、新的檢測方法，包括這個(gè)漏洞是否可以加入到安全規(guī)范當(dāng)中，都會(huì)沉淀下來。

我們針對(duì)于每一個(gè)漏洞，當(dāng)這個(gè)漏洞超出當(dāng)天價(jià)值百分之多少，自己公司可以定一個(gè)值，當(dāng)超出這個(gè)值以后，我們分析這個(gè)漏洞超出的根本原因是什么，如果這個(gè)根本原因是由于自己內(nèi)部員工檢測失誤的話，必須需要去調(diào)整內(nèi)部一些檢測的策略，包括人員分析、后續(xù)改進(jìn)措施、負(fù)責(zé)人，每天改進(jìn)的進(jìn)度都需要在這里面寫出來。當(dāng)有這樣一個(gè)循序漸進(jìn)的方法去運(yùn)營、去建設(shè)這個(gè)平臺(tái)之后，才能把所有外界JSRC提報(bào)過來的漏洞真正轉(zhuǎn)化成內(nèi)部的一個(gè)平臺(tái)，能豐富內(nèi)部知識(shí)。首先從建設(shè)到運(yùn)營到沉淀，把這一套東西做出來，才是一個(gè)非常好的安全響應(yīng)中心。這樣做完之后，才有底氣去和老板要一些資源，才可以去和老板說一些我們現(xiàn)在的一些成果。

JSRC平臺(tái)對(duì)于一個(gè)企業(yè)來說是非常寶貴的一個(gè)財(cái)富，既然有這樣一個(gè)財(cái)富的平臺(tái)，為什么我們不能借著這個(gè)平臺(tái)去做一些對(duì)于我們內(nèi)部豐富和加強(qiáng)內(nèi)部安全能力的一些事情呢，所以黑鍋就：當(dāng)這樣平臺(tái)的運(yùn)營人員是幸福的，就像一個(gè)圖書館（圖書館的威力，你們都懂得！）

如果大家覺得這個(gè)平臺(tái)可以在自己公司試運(yùn)行的話，大家可以真正去實(shí)踐它。