SRC們

這幾周下來，OpenSSL、Struts2補丁繞過、IE 0Day。。。似乎一個個大洞不斷啊，當安全越來越重要，各種互聯網廠商也越來越重視安全的時候，各種SRC就如同雨後春筍般出來了。

前天，SGSRC，搜狗安全應急響應平台（http://www.0xsafe.com/#SGSRC）也上線了，然後跟5up3rc兩個人通宵挖了一晚上的漏洞，興奮的睡不著覺，不亦樂乎。今天就跟大家來說說SRC以及白帽子。

先來解釋下什麼叫做SRC，SRC是Security Response Center的簡稱，翻譯過來也就是安全響應中心。安全應急響應中心是幹什麼的呢？簡要的來說，安全應急響應中心就是響應處理一些安全事件，而大家平時最常見的估計就是各個互聯網廠商的安全應急響應平台，也就是最常見的漏洞提交平台，這應該就是大家最常見到的。

其實安全影響中心具體做哪些事，因為沒在甲方呆過，我也不是很清楚，主要就跟大家一起聊聊對於漏洞提交平台這個東西與白帽子的一些事。大家可以關注我在知乎的提問，等待甲方大牛的回答（http://www.zhihu.com/question/23623967）。

細數各廠商的漏洞提交平台，根據http://0xsafe.com上的記錄，目前國內總的有大概有37家，記得在2013年TSRC出現之前，似乎一家都沒有，大家最經常提交漏洞也是到wooyun上。

國內最早做安全應急響應中心的應該是騰訊安全應急響應中心，也就是TSRC，最開始TSRC剛出來，大家都在找漏洞提交漏洞，我記得我在TSRC上提交的第一個漏洞是騰訊遊戲里的domxss。TSRC最開始搞的時候，也是按照積分排名方式，每個月按照當月提交的積分排名，然後根據排名進行獎勵，最差的也是QQ公仔。記得當時即使沒事也會每個月找上一兩個，等著集齊12個公仔召喚神龍，哈哈。

對於積分方式，其實有時比較不好，比如說，排名前幾的永遠是比較厲害的人，好的獎品也永遠是固定的幾個人拿，後來就改為兌換方式，這樣即使挖不動多少好洞的同學，通過累積積分也可以換一些自己想要的東西。

而隨著安全的重要性逐漸提升，各個廠商投在安全的資金也逐漸提升，到現在已經有額外現金獎勵的方式。

再來細數其他的SRC，大部分的SRC基本都是模仿TSRC的模式，只是可能每個SRC的審核標準和獎勵不盡相同而已。

而對於白帽子來說，越來越多的SRC的出現，也算一件好事，以前發現漏洞總找不到地方提交，即使發了郵件，也不一定受理，或者根本不重視，有時甚至還要被追究責任，怎一個不爽了得。

在目前看來，國內的安全環境會越來越好，廠商會越來越重視安全，2013年和2014年是一個安全元年，大家加油把！

然後我繼續碼代碼去了。。。哈哈

----------------------------------

Fooying，關注安全與開發

歡迎關注微信公眾號:oxsafe

也可以加入0xsafe交流群 141278838進行交流

微博或者知乎搜索：fooying都可以找到我，微信搜索：oxsafe

感謝關注，如果覺得文章不錯就分享下