如何評價 FreeBuf 最近的新產品「漏洞盒子」?
他們是什麼意思?覺得烏雲做的太火想分一杯羹?
早上收到推送「關於漏洞平台,我們想清楚了」,發現FB也推了一個漏洞平台,進去就看了下,發現似乎跟國內其它漏洞平台似乎不太一樣,它,會火嗎?
由於之前我做過類似產品,碰巧今天和白帽眾測的創始人冷焰吃了個飯,我來發表點看法。
烏雲眾測,白帽眾測,漏洞盒子,大體模式是一樣的:下游toB(企業客戶),上游彈藥來自通過認證的白帽子個人或團隊、甚至公司,自己提供一個平台出來,算是上下游的溝通樞紐。
最近陸續出現的這3個,在一些細節上有所差異,我就不說優劣勢,在我看來這種眾測模式通過互聯網運營方式去做,可以很好覆蓋到傳統滲透或安服團隊覆蓋不到的客戶,這類客戶群體不大可能是國企事業單位、政府單位、很多本土公司等,更可能會是互聯網公司,創業成熟的,創業中的沒有自己的安全人員,會拿出一些資金來買這種服務。
不大可能是國企事業單位、政府單位的原因是:關係與資質(敏感考慮)。這個絕不會是互聯網方式的口碑就能切入的。
不大可能是很多本土公司的原因是:關係綁定,酒桌上就搞定了。
不需要分羹,這塊市場還遠沒教育起來呢!這幾家的出現不是突然,他們早有自己的布局思考,能否成功都不好說,比如市場教育沒起來,沒人買單,白帽再多也沒用。
我記得36kr去年還廣告了一個滲透團隊,號稱能力很強,但是,不是能力強就能怎樣,他們的模式比烏雲眾測更封閉,都是自己人,烏雲開了先河,借用白帽力量,那為什麼說烏雲眾測封閉?是相比白帽眾測,漏洞盒子的做法來說的。封閉還是開放好?這個是一種平衡的把握,有時候客戶願意你宣傳,有的卻不願意。
未來的挑戰在我看來有幾點:1. 優秀的平台規則,讓上下游都爽,把控好一種微妙的平衡;2. 運營模式,好平台(產品)弱運營會很慘;3. 核心團隊的堅持,創業嘛,當然很苦!漏洞是客觀存在的,作為漏洞平台如何在保證廠商和用戶的損失最少的情況下合理披露漏洞並協助廠商處理漏洞?還要讓白帽子獲得合理的利益並保證這個圈子的生態平衡?
我想,烏雲做的還不夠好,不夠完善也不夠靠譜。「關於漏洞平台,我們想清楚了」,FB的漏洞盒子明顯不是「想分一杯羹」,從漏洞盒子的模式上看,用戶、廠商、白帽子都是受益者,何樂而不為?
負責任的漏洞處理漏洞盒子努力尋找到一個最平衡的漏洞處理流程。廠商可根據項目的私密性選擇最合適的測試模式,以保護項目隱私;白帽子在獲得漏洞賞金之外,更可通過平台與廠商實現面對面的溝通,在尊重廠商利益的前提下,獲得漏洞披露機會。廠商與白帽子之間的信任我們相信,通過在漏洞盒子平台中融入契約精神、有效溝通以及資源的合理配置,可以真正為廠商與白帽子建立信任、尊重、合作與共贏。公正、透明、第三方漏洞盒子是一個獨立的第三方機構,我們深知公正對於廠商和白帽子的重要性。因此,我們將漏洞處理流程、漏洞獎勵規則完全公開,項目自發布後任何人不得更改。同時每一個漏洞狀態、廠商的處理方式及流向,都能在平台中清晰呈現。不作惡注重隱私保護是安全從業者的基本素質,我們中的每個人都必須嚴格遵守漏洞盒子隱私政策條款
漏洞盒子這種安全眾測模式流行起來,自然是獨到之處,優點突出例如組織簡單,解決安全漏洞效果良好,費用低廉。但是反過來說缺點也很明顯,如何約束參與測試的安全人員,如何保證安全漏洞的保密性,這些看似簡單卻都是會出大問題的事情。當然最重要的是甲方公司對這種模式的接受和對組織團隊的信任。這都是一個長期過程,可能需要需要很久的磨合。
漏洞盒子還是不錯的,作為一個小白,平時我上班之外,也參加盒子的授權眾測,審核漏洞比補天和其他幾個平台快多了,獎金也略高!有幸有機會參加了他們全國的freetalk沙龍和FIT互聯網安全品牌峰會,在業界還是蠻有影響力的,認識了不少企業安全界的朋友,學習頗多,支持盒子!
樓主用了就知道了,趕快去體驗吧
其實團隊做這個不是為了火不火....目標還是最快速度填補漏洞,只不過不僅僅是網站加入了而已,漏洞的查看也需要許可權,以免因為某些細節的流出導致漏洞的蔓延~(我是新人,如果寫的不對,請多多指教)
這和烏雲的模式完全不一樣的,。。。。。。
我不知道烏雲是怎麼賺錢的,不過烏雲當初的漏洞模式確實很大程度的改變了各大公司對安全的態度,也改變了這個行業(讓安全得到重視)。眾測平台不也是往這個方向上去的嗎?讓有能力的人獲得更多的機會,多幾個有和不可。就算當成賺錢的行當,也有競爭,有競爭才有進步。
至於匿名用戶的呵呵。
呵呵!我覺得這個漏洞盒子我會支持,各方面都做的不錯!
freebuf已經很火了
我是烏雲眾測平台負責人,首先感謝各位不同的聲音。噴子太多,我只想說:行動證明一切!半年後再討論這個問題。
沒必要火不火的,也不是為了要搞死誰,這個市場是開放的大家都可以來做,並且漏洞盒子也沒有和烏雲有任何正面的業務衝突,樓主多想了。
推薦閱讀: