信息來(lái)源：FreeBuf   

本文以TSRC負(fù)責(zé)人flyh4t和白帽子專訪為素材編輯整理

2012年初，一則社會(huì)新聞攪動(dòng)了當(dāng)時(shí)還不成熟的互聯(lián)網(wǎng)安全圈。一人發(fā)現(xiàn)某電商城存在漏洞，該漏洞可獲取該商城所有用戶賬號(hào)、密碼及個(gè)人信息。在雙方溝通未果后，該名“勒索者”被警方控制。

前SRC時(shí)代

在那個(gè)沒(méi)有SRC的年代，白帽子發(fā)現(xiàn)漏洞的意義很局限，向網(wǎng)站或廠商報(bào)告漏洞的途徑少之又少，索性在自己的博客里公布，這也加深了雙方的對(duì)立與誤解，盡管存在少數(shù)心懷鬼胎的人低調(diào)地做些“買賣”。 

然而，國(guó)內(nèi)這樣的空白沒(méi)有持續(xù)太久，畢竟包括谷歌、Facebook、微軟等外國(guó)互聯(lián)網(wǎng)公司都有了相對(duì)成熟的SRC應(yīng)急響應(yīng)機(jī)制或者漏洞獎(jiǎng)計(jì)劃，鼓勵(lì)了安全測(cè)試人員與企業(yè)一道維護(hù)系統(tǒng)安全。 

就SRC而言，2012年5月建立的騰訊安全應(yīng)急響應(yīng)中心TSRC（Tencent Security Response Center）為中國(guó)首家企業(yè)自建漏洞收集平臺(tái)，不僅開了歷史之先河，更是不負(fù)眾望地穩(wěn)坐口碑TOP1。那么“國(guó)內(nèi)最早SRC”的秘密武器究竟是什么？

SRC的破殼

讓我們將時(shí)鐘重新?lián)芑?012年3月底，騰訊應(yīng)急團(tuán)隊(duì)當(dāng)時(shí)剛處理完一個(gè)外部報(bào)告的嚴(yán)重安全漏洞，時(shí)任騰訊CTO Tony給安全部門的同事發(fā)了封郵件：

“這個(gè)漏洞很嚴(yán)重，公仔不足以表達(dá)我們的感謝……”

當(dāng)時(shí)的行業(yè)中，白帽子們發(fā)現(xiàn)漏洞通知廠商的行為并不多見，而廠商的答謝也非常簡(jiǎn)單。但是騰訊安全應(yīng)急安全團(tuán)隊(duì)意識(shí)到是時(shí)候改變游戲規(guī)則了，于是在一番討論之后，Lake2、熾天使、coolc、ls、tony共同見證了TSRC的誕生。

初長(zhǎng)

萬(wàn)事開頭難。沒(méi)有開發(fā)、沒(méi)有產(chǎn)品、沒(méi)有設(shè)計(jì)、沒(méi)有運(yùn)營(yíng)，這些職位都由TSR最初的幾個(gè)的安全人員兼任。

現(xiàn)任騰訊安全部負(fù)責(zé)人的Lake2曾在博客中提到：

“說(shuō)實(shí)話當(dāng)時(shí)心里沒(méi)底，畢竟TSRC是業(yè)內(nèi)第一家企業(yè)自建漏洞收集平臺(tái)，萬(wàn)一平臺(tái)建好了沒(méi)人來(lái)報(bào)漏洞怎么辦？萬(wàn)一同時(shí)來(lái)了無(wú)數(shù)個(gè)漏洞怎么辦？萬(wàn)一被競(jìng)爭(zhēng)對(duì)手坑了怎么辦？萬(wàn)一……”

即便疑慮重重，他們還是開啟了一系列“小步快跑敏捷開發(fā)”。比較核心的在于TSRC漏洞報(bào)告系統(tǒng)打通了內(nèi)部的漏洞工單系統(tǒng)，一經(jīng)確認(rèn)的漏洞就會(huì)自動(dòng)同步到工單系統(tǒng)驅(qū)動(dòng)業(yè)務(wù)修復(fù)，修復(fù)后會(huì)自動(dòng)同步狀態(tài)到TSRC漏洞報(bào)到系統(tǒng)反饋給報(bào)告者復(fù)查。

“TSRC一期的系統(tǒng)開發(fā)及與內(nèi)部安全工單系統(tǒng)對(duì)接工作都是harite完成的，產(chǎn)品、網(wǎng)頁(yè)設(shè)計(jì)、文案話術(shù)、處理流程、微博、博客文章大部分都是我和harite做的?！?

終于，騰訊漏洞報(bào)告平臺(tái)于2012年5月20日進(jìn)行內(nèi)側(cè)，5月31日正式上線。

上線首月就有38位白帽子報(bào)告了上百個(gè)漏洞，其中不乏嚴(yán)重漏洞。隨后的幾個(gè)月，發(fā)現(xiàn)的漏洞數(shù)量也是一路攀升，7月176個(gè)，8月280個(gè)……這還是最終確認(rèn)為漏洞的數(shù)量——還有更多確認(rèn)不是漏洞的報(bào)告（數(shù)倍于確認(rèn)）。

成長(zhǎng)

在收到了良好的反應(yīng)與廣泛支持之后，TSRC開始思索下一個(gè)方向。他們意識(shí)到跟所有的產(chǎn)品一樣，建設(shè)完成只是一個(gè)開始，關(guān)鍵要靠運(yùn)營(yíng)。摸索中，他們找到了TSRC運(yùn)營(yíng)的十六字箴言——小步快跑，大膽試錯(cuò)，溝通為王，以德服人。

大膽試錯(cuò)

沒(méi)有生來(lái)便是成熟的產(chǎn)品。TSRC也一樣，作為國(guó)內(nèi)首家，他們更是沒(méi)有太多經(jīng)驗(yàn)和先驅(qū)可以拿來(lái)參照。

前期TSRC因?yàn)闆](méi)有規(guī)則，經(jīng)常出現(xiàn)漏洞評(píng)分的爭(zhēng)議。于是他們很快發(fā)布了《騰訊外部報(bào)告漏洞處理流程》并且不斷更新，一直維護(hù)至今。

而后又存在漏洞推送到業(yè)務(wù)修復(fù)后，沒(méi)有修復(fù)徹底，又被外部發(fā)現(xiàn)。于是增加了“報(bào)告者確認(rèn)修復(fù)”的流程。

早期的幾個(gè)月里，考慮到經(jīng)費(fèi)問(wèn)題，對(duì)白帽子的獎(jiǎng)勵(lì)采用的是按積分排序，按等級(jí)贈(zèng)送禮品。而這樣白帽子無(wú)法獲得喜歡的東西，于是“兌換制”誕生了。如此一來(lái)，白帽子提交漏洞的積極性就提升了。

溝通為王

分析過(guò)早期TSRC惹出爭(zhēng)議的所有問(wèn)題之后，他們發(fā)現(xiàn)80%以上都是跟報(bào)告者的溝通問(wèn)題。問(wèn)題可能存在于對(duì)漏洞的評(píng)級(jí)、處理流程等地方，TSRC也在不斷優(yōu)化平臺(tái)建設(shè)，相應(yīng)增加了評(píng)論功能，以及后來(lái)的“一鍵QQ聯(lián)系”功能。

不斷創(chuàng)新

今年是TSRC走過(guò)的第三個(gè)年頭，10月份他們將原有的“安全漏洞獎(jiǎng)勵(lì)計(jì)劃”正式升級(jí)為“威脅情報(bào)獎(jiǎng)勵(lì)計(jì)劃”，也就是，TSRC除原有的收集騰訊安全漏洞外，還收集與騰訊相關(guān)的任何安全威脅情報(bào)，一經(jīng)確認(rèn)，即按照威脅情報(bào)評(píng)分危害級(jí)別給予獎(jiǎng)勵(lì)。目前，已是小有收獲。

此外，TSRC也是首個(gè)主辦校園沙龍活動(dòng)的SRC?！笆澜珥敿?jí)黑客母校行”10月15日來(lái)到上海交通大學(xué)，兩位頂級(jí)黑客校友盤古實(shí)驗(yàn)室負(fù)責(zé)人徐昊（windknown）和全球黑客大賽世界冠軍陳良現(xiàn)身傳授經(jīng)驗(yàn)，TSRC伴隨學(xué)子一同成長(zhǎng)。

如何與白帽子相處

作為國(guó)內(nèi)成立的首個(gè)SRC，騰訊安全應(yīng)急團(tuán)隊(duì)一路走來(lái)，從無(wú)到有，從心里沒(méi)底到口碑“第一”，這其中不乏曲折與嘗試。產(chǎn)品好不好，用戶說(shuō)了算。這里我們暫時(shí)將白帽子視為TSRC的用戶，聽聽他們的評(píng)價(jià)。

白帽子棟棟同學(xué)：

“TSRC人文關(guān)懷簡(jiǎn)直貼心，漏洞處理也快，（發(fā)生）爭(zhēng)議會(huì)邀請(qǐng)業(yè)界前輩一起商討，雖然我還沒(méi)遇到過(guò)。就比如我就提交過(guò)兩枚漏洞，禮品已經(jīng)收到一大堆了。還有，TSRC也在做公益?！?

TSRC年度積分冠軍白帽子rasca1告訴FB小編，騰訊不僅獎(jiǎng)勵(lì)高、態(tài)度好，時(shí)不時(shí)還有活動(dòng)，逢年過(guò)節(jié)還給白帽子發(fā)禮物的。

“全球應(yīng)該就這一家吧，所以說(shuō)是宇宙第一SRC?！?

兩年前，無(wú)意間看到這個(gè)網(wǎng)站的rasca1，當(dāng)時(shí)還是個(gè)小白，提交了個(gè)XSS漏洞。然后便一直在TSRC提交漏洞，據(jù)他說(shuō)雖然漏洞越挖越難，但是邊學(xué)邊挖中也收獲了很多。

對(duì)于白帽子們的如潮好評(píng)，TSRC現(xiàn)在負(fù)責(zé)人flyh4t告訴FB小編，首先謝謝大家的認(rèn)可：

“這里我要借助你們平臺(tái)感謝下白帽子。 大家經(jīng)常說(shuō)我們TSRC福利好，在我看來(lái)還不是這樣的，我們給予白帽子的還太少了。比如一個(gè)漏洞，特別是高風(fēng)險(xiǎn)的，被黑客利用了，對(duì)我們騰訊業(yè)務(wù)和騰訊用戶所能造成的損失，不是這點(diǎn)禮品所能衡量的。 我們現(xiàn)在其實(shí)還是爭(zhēng)取到的資源比較有限，給予白帽子的物質(zhì)方面的還是太少了。”

2015互聯(lián)網(wǎng)安全年度評(píng)選

FreeBuf 主辦“2015互聯(lián)網(wǎng)安全年度評(píng)選”WitAwards報(bào)名通道已經(jīng)進(jìn)入萬(wàn)眾期待的全民投票階段，年度最佳SRC、年度安全寶貝、年度安全團(tuán)隊(duì)、年度安全云、年度安全產(chǎn)品、最佳安全研究者等十二項(xiàng)大獎(jiǎng)花落誰(shuí)家，答案最終會(huì)在明年FIT互聯(lián)網(wǎng)安全創(chuàng)新大會(huì)上揭曉。

你心目中的年度最佳SRC又是哪一家？我要投票

*FreeBuf 編輯部，轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf黑客與極客（FreeBuf.COM）