利用互聯網把業務眾包出去肯定算不上新概念,不過現在這種模式突然扎堆出現在了安全領域。
在以前,一個中小型的企業如果想做安全測試,往往需要向乙方公司交一筆不菲的費用,而且最終測試結果如何也難以評估;但新誕生的眾包安全模式則有望利用互聯網平臺把安全這個相對封閉的行業規范、透明起來。
就像漏洞盒子創始人袁勁松所說的那樣:做安全不應該一直封閉。漏洞盒子就正在以眾包、透明的形式來做安全服務。
和其他眾包模式類似,漏洞盒子也是提供一系列網絡工具來對接安全人員(白帽子)和廠商。所以這類平臺誕生之處就會面臨一個問題:如何把白帽子和廠商同時吸引到自家平臺上來?畢竟缺了任何一方,這樣的平臺就沒法正常運轉。
對于漏洞盒子來說,吸引白帽子這樣的事情并不算難。由于其脫胎于國內的安全媒體Freebuf,所以在平臺誕生之處就已經獲得了一定數量的白帽子,其中甚至不乏國外的安全人員。在吸引廠商層面,除了Freebuf媒體之前積累下來的資源外,他們也會去主動聯系一些廠商。現在騰訊、百度、阿里巴巴這樣的公司都已經出現在了漏洞盒子的合作伙伴名單中。
在有了白帽子和廠商入駐之后,作為平臺方當然是想辦法設計合適的產品來對接雙方的需求。在這樣一個眾包平臺上,白帽子和廠商的需求都很簡單。前者想實現自身價值并獲利,后者則想解決潛在的安全隱患
基于此,漏洞盒子的平臺上提供了“短期”和“長期”兩種項目形式。
所謂短期項目就是廠商明確漏洞的測試范圍、測試時間、有效的漏洞類型、是否提供現金獎勵等條件,白帽子按照廠商的需求完成相關的測試工作進而獲取收益。而長期項目則是廠商入住在漏洞盒子平臺上,并提供安全測試人員可測試的范圍、時間以及測試規則,然后通過漏洞盒子實行漏洞獎勵計劃。
在短期項目內,根據廠商的需求,漏洞盒子又提供“公開項目”和“私人項目”兩種選擇模式。“公開項目”顧名思義就是所有注冊的測試人員均可查看漏洞詳情并且參與項目。而由于某些項目對保密性和測試者資質有一定要求,所以這個時候漏洞盒子就會出面邀請一些相應領域的專家來做對應的項目,“私人項目”也就隨之誕生了。
無論是哪一種項目,在漏洞盒子的平臺上都會給出明確的漏洞處理狀態,白帽子和廠商雙方都可以跟蹤整個項目的運行情況,這樣以來整個安全測試工作對企業來說就不再是一個“黑匣子”,而且按效果付費的模式也讓企業方可以更好的量化整個測試結果。
就像所有看上去有前景的互聯網產品在中國都不乏競爭對手一樣,漏洞盒子并不是國內唯一一家以眾包模式做安全測試的,像烏云眾測、Sobug安全眾測平臺都是在差不多的時間點上線的類似服務。騰訊安全應急響應中心在對比使用了幾家的服務之后,認為測試平臺的“保密性”、“專業性”、“合規性”、“流程和規范”會成為廠商的主要考量因素,而滿足這些因素的平臺自然能更好的獲得廠商的青睞。
在安全行業,有一條著名的林納斯定律,它說的是有“足夠多的眼睛,就可讓所有問題浮現(given enough eyeballs, all bugs are shallow)”。不過OpenSSL漏洞的事實告訴我們,只有足夠多的眼睛還是不夠的,配上合理的激勵機制才能盡最大的可能性找出問題所在,而這正是這些眾包安全測試平臺在做的事情。