解答所有疑问,顺便谈谈白帽自律委员会的初衷。

  • A+
所属分类:安全闲碎

昨天的《网络尖刀团队关于终止携程SRC漏洞合作公开声明》炸出了一波人,一直到今天也被各种信息持续覆盖着,不想一个或N个问题反反复复的重复回答,索性今天一次性给大家一个答案。


矛盾点


和携程的冲突不是一天两天的问题,如果真的是一线在挖掘漏洞的小伙伴应该在携程漏审那里学会了很多忽略、降级漏洞的原创话术,早期也有过我出面沟通的情况,但最终还是只委婉的解决了沟通的那个问题(并没太大改善),而没有真正解决产生这些矛盾的病因,这种感觉很不舒服,甚至觉得我是来刷了一次脸卖了我这个厚颜无耻的人情,所以也不想在继续沟通了。


对漏洞争议的沟通处理,漏洞评级的合理性,一直都是携程SRC与网络尖刀团队成员的矛盾点。


导火索


每年的下半年网络尖刀团队成员是比较活跃的,也就是这样会持续发现矛盾,半年内光我个人已知团队小伙伴与携程SRC发生的意见不统一就已经有七八起,就在前段时间我还在朋友圈有公开diss过,建议某SRC把这位漏洞审核人员开掉的动态。


这是一个关于沟通和对漏洞理解的问题,大致内容如下:


解答所有疑问,顺便谈谈白帽自律委员会的初衷。


结果在这个事情发生后没几天,小伙伴们又出现了这样的类似摩擦,甚至有一种审核人员被“针对性”恶意高危评中低的感觉。


漏洞认定


关于漏洞认定各自的理解,早就产生了严重分歧,一直以来网络尖刀团队与各大平台认可及沟通的漏洞“评级”原则,是在以漏洞实际危害性影响范围作为评级参考标准。


也就是说弱口令进入了敏感业务它就应该是高危,但是如果是团队边界业务、甚至只是和团队有很浅的间接联系的业务,比如某设计团队自己架了个博客和本身业务无任何关系,但是确实使用了核心业务的子域,那么搞了这个博客的权限,你就算是评中低危我觉得也是正常。


就上面的那个弱口令事件也是一样,身边某位朋友比喻的特别到位,我捡到了你们家的钥匙打开了你们家的门,如果被你们马上发现并且制止了,这就是低危,但是实际情况是,我不但打开了你家的门还在你屋里呆了半小时,你最终还没发现,这时候你不能因为我没“偷”你家东西亦或者没“破坏”你家家具,你就告诉我这件事儿问题不大没有实际影响吧?


问题的本身根本就没产生于我捡到你家钥匙,而是你们对内的安全教育怎么会允许有这样的低级错误?内部为什么没有发现这样的低级问题?那些对外PR引以为傲的各种“感知”,为什么没有感知到?


所以我说,凭本事犯得低级错误,就应该凭本事把它买单。


而不是今天漏洞审核人员用怼白帽子的口气,告诉他这就是“规则”!


彼此关系


有人匿名来了个“山寨diss回答”,连个实名都不敢跑出来卖乖、蹭热度的人我本来是不想理会的,做人要真实一些,有问题说问题,而不是满嘴脏话瞎BB。


但文章里面错误的把SRC厂商比喻甲方粑粑,白帽子比喻成乙方,我觉得我有必要解释一下,不管怎么理解白帽子与SRC厂商在我们眼里一直都是合作关系,互相理解、互相尊重、互相陪伴及成长。


甲乙方?


什么是甲乙方?涉及到一个事情具体到了涉及确定权利、义务关系的,才可以说的上是甲乙,目前大家之间并没有明确到这么细腻,在这个阶段白帽子更像SRC的外部顾问,而且还是松散型的合作,请不要把这种关系硬掰成“责任、权利、义务”,我不知道该说你法盲?还是文盲?还是真瞎。


白帽自律委员会


白帽自律委员会的初衷,是为了通过中立的角度平衡网络尖刀成员与厂商之间的关系,在产生争议的时候通过投票制,做到尽可能公平且互相尊重的争议评审(可参考知乎的社区仲裁)。


白帽自律委员会,字面意思就是要让我们自己的白帽子先自律,然后我们再谈下一步,所以希望大家不要对我们有错误的误解,我们的白帽自律委员会是来约束网络尖刀自身成员“自律”的,目前我们也只与Chamd5团队进行了互认。


私下里我们与M向来都是高频接触,且双方团队都互相悉知,所以才有了这样的互认准则。


目前厂商侧我们只会邀请网络尖刀及Chamd5团队高频互动且活跃的厂商加入该认可体系来进行互认。


因为有很多细节的地方都要考虑,为了做到尽可能的公证公平,我们会在确保评审委员会的评审员首先真正可靠,并能持有保持中立态度为前提下,在去考量好如何在不公开厂商漏洞细节的前提下,做到尽可能性公正合理的投票,这里面需要很深入的设计细则。


我们会在一周左右,公开我们的首批加入及准入标准。


写在最后


没有必要再来公关我,把心思多用在解决问题上而不是解决提出问题的我,看看我们及chamd5公众号、朋友圈里有多少抱怨,为什么会有这么大的抱怨?别总是站在“上帝视角”审视众生。


白帽子之前没有跳出来说这些事?不代表这件事不存在,积怨的太深了才会有“墙倒众人推”的效果,为什么之前没有个体白帽子出来有这样的影响?因为他们怕被审核人员“针对性”报复啊!


创立一个安全团队很难,真不是随意拉个微信群就可以了,关键的时候你真的要代表兄弟们的利益为大家抗事儿,我做了很多次“恶人”,但看看今天的网络尖刀,我觉得为了兄弟们集体的利益,这种事儿我站出来说是“值得”的。况且,在守护兄弟们的利益的过程中,其实我们也维护了那些没有团队在背后支撑,没有丝毫影响力的默默在背后忍气吞声的白帽子的利益。


某些人也可以针对我,但真的搞毛了,无论我还是今天的网络尖刀团队,我们还真不惧!


其它的问题要么没想起来,要么干脆真的是懒得答了,有什么不清楚的直接留言吧,有价值的问题和建议我会一一回复。


解答所有疑问,顺便谈谈白帽自律委员会的初衷。


本文始发于微信公众号(网络尖刀):解答所有疑问,顺便谈谈白帽自律委员会的初衷。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: