雖然cnhawk總是一名“終結(jié)者”，但是從TSRC平臺建設(shè)開始，給各大企業(yè)平臺的建設(shè)過程里，卻提供了大量的“建設(shè)”性的建議，一個(gè)名副其實(shí)的“建設(shè)者”。每次lake2和我pk的時(shí)候，老是說：“你等著，我找hawk總秒殺你!” 奇怪的是，很多回合過去了，卻很多走向了共同的點(diǎn)子上.....

在4月19日TSRC沙龍上，我們現(xiàn)場來個(gè)PK，不過當(dāng)時(shí)環(huán)境所限，感覺pk不是很過癮。于是hawk總來一個(gè)大招《淺談企業(yè)漏洞收集平臺建設(shè)》。整體上來說，現(xiàn)場pk的也是以前pk過的一個(gè)問題：法治與人治。其實(shí)這個(gè)題目很大! 其實(shí)我不完全是人治。

首先，“企業(yè)漏洞平臺將運(yùn)營人員技術(shù)層次提高到足夠高的水平” 這個(gè)是體現(xiàn)平臺價(jià)值的一個(gè)重要點(diǎn)。我和lake2說過：當(dāng)這樣平臺的運(yùn)營人員是幸福的，就像一個(gè)圖書館(圖書館的威力，你們都懂的!)，你單純把他當(dāng)一重工作任務(wù)，那真是“天理不容”的!!

然后在大風(fēng)的演講《黑客來了怎么辦》里提到一問題，那就是“度”!白帽子們在找漏洞測試時(shí)候的一個(gè)“度”，大風(fēng)主張只到POC的層面就好了。但是問題來了，怎么評價(jià)這個(gè)漏洞的最終危害!這個(gè)也就涉及到評分的問題。 如果有白帽子來完成，那很明顯越界了，完全可以去“南山法院”，只要騰訊愿意。 所以這個(gè)事情就得交給甲方來做，但是這里又有一個(gè)問題了 ，也就是甲方人員得水平問題! 我記得在現(xiàn)場我也說了，以前在tsrc的人員也說過：“你自己的技術(shù)水平都不行，怎么去評估別人報(bào)告的漏洞!” 其實(shí)這個(gè)是比較尖銳的提法。所以開始tsrc的很多朋友對我是有看法，但基本都是爺們，我想也沒關(guān)系。 但是面對一些甲方妹子交流的時(shí)候，我就不好去說這個(gè)話了，有點(diǎn)傷人!(這里絕對不是性別歧視啊～～)

跑題了...

那么我們怎么來解決這個(gè)問題，當(dāng)時(shí)我提了2個(gè)建議：

1、加強(qiáng)對甲方安全人員的內(nèi)功(人才培養(yǎng))

2、加強(qiáng)和漏洞報(bào)告者的溝通。(你有能力證明，但是沒有資格去實(shí)施。我有資格去實(shí)施，但是沒有這個(gè)能力!所以交流交流就好了!?)

不過TSRC的人有沒有采用我的，我就不是很清楚了...

然后我們回到評分標(biāo)準(zhǔn)的問題上，hawk總的量法思路，其實(shí)很多人(我記得大風(fēng)就提過)和機(jī)構(gòu)都有去做過。但是我認(rèn)為漏洞的場景太多，也就是評估的因素很多。而不是單單遠(yuǎn)程、本地等問題。而且我認(rèn)為web服務(wù)上說遠(yuǎn)程本地基本沒多大意義。當(dāng)然這個(gè)只是個(gè)舉例說明，好像以前也有老外提供過一些共公式。這里我想說的是我在《我的安全世界觀》里提到的“概念(公式)是死的”到***評估還是落實(shí)到人身上。

那我的辦法是啥呢? 我在《給TSRC等甲方平臺建設(shè)的一些建議》里提到：“應(yīng)該把以上的一些因素的權(quán)重來實(shí)現(xiàn)一個(gè)修正的評分模式” 也就是在“法治”的每個(gè)規(guī)則上來個(gè)修正的范圍：

如：[ 嚴(yán)重 ] (兌換金幣系數(shù) 30 )分值范圍 9-10， 修正+-5

也就是先給等級，然后結(jié)合漏洞的一些場景、條件來修正。

另外我對其他甲方建立這樣的平臺的時(shí)候，一定要注意結(jié)合甲方自己的因素，比如投入的成本等等去認(rèn)真思考，榜樣有時(shí)候是有“毒”的。不要“該學(xué)的沒學(xué)到，不該學(xué)的都用上了 ”

hawk總發(fā)布“終結(jié)”篇《三談企業(yè)漏洞收集平臺建設(shè)》