怎么评价国内SRC纷乱上线“白帽子协议”?

原标题:怎么 评价国内SRC纷乱 上线“白帽子协议”?

2017年6月1日21:21分

某监狱里,对话如下:

监犯 A:你们都是怎么来的?

监犯 B:我是XX缝隙 平台挖缝隙 不当心 进来的。

监犯 C:我是XX平台路人甲,输错命令了rm -rf / (批量删除)

监犯 D:我是某测评中心的忘了要授权了……

监犯 E:我。。。就是那个在群里成天陪你们吹法螺 逼斗图的HELLEN啊!

监犯 F:这下齐了,究竟 谁黑的我网站我不打死你,我是那个管理员站长。

……………………

黑客技能 哪家强?中国监狱是天堂 !

没错,以上只是个段子。但是 在6月1日那天,这条段子在安全圈的微信群里传得很广,因为那天《网络安全法》正式施行 。

虽然安全圈里不少人都挺有自嘲精力 的,但这些自黑的段子,显着 也走漏 出几丝担忧,像是一段对白:

嘿,老铁,知道你没缺陷 ,也没有坏心思,可好心办坏事的状况 也不是没发生过。要是一不留神 就犯了法进去了,那就太冤了。多留意 点吧!

这种担忧其实不 是没依据的。提两个真事。

一个是上一年 闹得沸沸扬扬的“袁炜工作 ”。

2015年底,乌云缝隙 平台的白帽子袁炜提交了一个世纪佳缘的安全缝隙 ,世纪佳缘确认并修补了这个缝隙 ,同时在乌云网上对白帽子表明 称谢 。但事后他们统计发现,有900多条有用 数据被攻击者获取。

出于对信息安全的担忧,世纪佳缘选择了报警。警方调查后才发现只有袁炜一个人涉嫌此案。终究 袁炜被检察院公诉,2016年4月被同意 逮捕 。

工作 一出,整个安全圈都炸开锅了。随之而来的是各方关于 白帽子行为鸿沟 的深化 评论 。

第二件事就发生在最近,不过没有上一个那么“刺激”。

6月1日 ,某知名互联网公司的安全应急呼应 中心(以下简称“SRC”) 发布了一篇布告 ,指出其平台上有白帽子不遵守平台缝隙 测试原则,在未经他们授权的状况 下擅自公开披露了一例缝隙 细节。终究 的成绩是取缔了该白帽子提交该缝隙 的奖励。

布告 一出,也是众说纷纭。有人觉得专挑《网络安全法》施行 当天发布告 ,言辞还挺剧烈 ,这是示威啊!也有人觉得这没缺陷 ,就得依照 法令 和规则来,凡事讲道理嘛;

当事人白帽子也在其博客里指出,该SRC在发出布告 之前,早年 在没告诉 的状况 下,冻住 了他账户下的所有缝隙 奖励积分(包括之前挖缝隙 的奖励),导致他无法兑换奖品。 虽然钱是小,但是 让人很不爽啊!(还发了布告 )

怎么评价国内SRC纷乱上线“白帽子协议”?

▲ 图片来自当事人白帽子的博文

这两件事其实是企业和白帽子的矛盾关系在极端场景下的激活和迸发 。什么矛盾呢?“又爱又怕”的矛盾。

企业对白帽子是又爱又怕的。

他们爱白帽子,因为后者能为帮他们发现不少安全缝隙 ,有时还给出修复方案,维护了他们的事务 安稳 ;但他们又怕白帽子“放纵 不羁爱自在 ”,懒得观点 令 条文和平台,按自己的行事逻辑就事 。也怕白帽子因为对法令 的不了解做出一些有争议的事。还怕有黑产分子假借白帽子的名义,伤了两边 的恋爱,还损坏 了白帽子的名声。

白帽子对企业也是又爱又怕。

他们喜欢挖缝隙 带来的回馈,不只 包括物质上的礼物、奖金,更有精力 上的鼓励——自己的ID呈现 在感谢名单上的骄傲 、组队挖缝隙 带来的好基友和技能 评论 氛围;同时他们也怕自己一不当心 就背了锅,对方发来感谢并逮捕 了自己,也怕自己的缝隙 得不到认可。

好,那有没有方法 让这种微妙的关系达到某种平衡,构成 一种默契呢?将“怕”的那一部分尽量下降 ,减少咱们的顾虑和畏惧呢?

其实各家企业的SRC和缝隙 平台都在努力寻找这个答案。最终,他们选了一个还不错的解决方案:规则。

于是他们推出“白帽子协议”。

6月1日那天,超过19家企业的SRC组成了“SRC联盟”一起上线了“白帽子协议。

白帽子协议是什么?依照 我的了解 ,白帽子协议是一个企业和白帽子之间的约好 。

哪些事精干 ,哪些不精干 ,哪些需要提前打个接待,咱提前都先告知 好,签个协议点个“同意”,两边 达到 一致觉得没问题了,然后就能够 继续开心肠 挖缝隙 、刷榜和拿奖励了。

之后的相关状况 都有限依照 之前约好 好的来,这样咱们都信服 。没什么争论 ,也不容易出问题。

怎么评价国内SRC纷乱上线“白帽子协议”?

▲ 京东 JSRC 的白帽子协议页面截图

画外音:擦,这么多规矩,条条框框,不是让我们白帽子挖缝隙 捆手捆脚了吗?

还真不是。我做个类比: