再谈xSRC开源暨如何建设自己的漏洞收集平台

  • A+
所属分类:安全闲碎
再谈xSRC开源暨如何建设自己的漏洞收集平台

文|芝泉


昨日,工业和信息化部、国家互联网信息办公室、公安部联合发布《网络产品安全漏洞管理规定》(以下简称“规定”),对网络产品的安全漏洞收集、发布、处置、修补、报送等行为进行了规范,一下子引爆了话题,微信群和朋友圈被刷屏,大家都在纷纷讨论该规定。


其他暂且不表,我们来看看“规定”里涉及安全漏洞收集平台的条款:


第五条 网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。


第六条 鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞。


第七条 ……

鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。


这不就是鼓励企业建设安全漏洞收集平台和开展漏洞奖励计划吗?目前比较成熟的实践是企业开展SRC收集漏洞,说到SRC,我们有很多经验教训与大家分享。


腾讯安全应急响应中心(TSRC)是国内最早的SRC,自2012年上线以来一直在持续运营,与白帽子共筑网络安全,使安全应急响应平台成为一个健康运转、良性循环的生态机制。


再谈xSRC开源暨如何建设自己的漏洞收集平台



在我们看来,企业自建漏洞收集平台分为三个等级:


1. 低配版:通过漏洞邮箱收集


使用邮件沟通需要手动跟进,消耗人力也不利于归档,没有那么现代化,适合小企业或者漏洞收集初期阶段。


 2. 中配版:通过第三方漏洞收集平台


企业把漏洞收集平台托管给第三方,不用关心平台的开发工作,比较省事,缺点是一些定制化需求可能支持不及时甚至没法实施,适合有一定预算的中小企业。


TSRC也尝试为合作伙伴提供了漏洞收集平台SaaS版本,目前已接入几家,典型用户是微众银行。由于SaaS是几年前开发的,架构老旧不适合大量企业接入,近期我们在调研是否重构以接入更多用户,但涉及到一定的研发工作量,有需求的企业可以在本文留言,达到一定数量就立即马上安排。


再谈xSRC开源暨如何建设自己的漏洞收集平台


3. 高配版:自建漏洞收集平台


安全漏洞属于敏感信息,托管给别人总是不放心,有条件的企业最好是自建漏洞收集平台,各种定制化随意安排,适合有人力、物力、财力的大型企业。


对于有自建想法的企业,TSRC也为你们准备了一份大礼:我们开源了漏洞收集平台xSRC。我们不赚钱,交个朋友,唯一的要求是,在你有能力的情况下一起来维护开源版本,让xSRC更强大,一起为互联网的安全做一点微小的贡献。


下载地址见文末附录。


再谈xSRC开源暨如何建设自己的漏洞收集平台


漏洞收集平台建好了,如何运营呢?没问题,我们也有准备,大家可以参考TSRC 第一任负责人、号称TSRC CEO的lake2之前写的《企业安全应急响应中心建设理论与实践》,2015年的文章,不过里面大部分思路还是有效的。


漏洞收集是表象,本质还是产品的安全质量要过硬,那么如何做才能提升产品安全质量呢?


以我们的经验来看必须是SDL——当然现在与时俱进升级成为了DevSecOps。打一个广告,在著名的安全大会XCon 2021上,TSRC联合创始人兼第一任CTO、现腾讯开发安全负责人harite将做主题演讲,讲述他主持DevSecOps工作两年来的一些实践和思考,敬请期待。


好了,很高兴能够为行业的安全生态做一点微小的贡献,欢迎大家就SRC、xSRC进行探讨,留言留言。如果你们觉得我泉哥文章写得好,可以给我点个赞。



附录


xSRC下载

https://security.tencent.com/index.php/xsrc


xSRC开源版本

https://security.tencent.com/opensource/detail/19


《企业安全应急响应中心建设理论与实践》lake2



《研效提升,安全随行——DevSecOps在腾讯》harite



再谈xSRC开源暨如何建设自己的漏洞收集平台


我们是TSRC

互联网安全的守护者

用户数据安全的保卫者

我们找漏洞、查入侵、防攻击

与安全行业精英携手共建互联网生态安全

期待正能量的你与我们结盟!


微信号:tsrc_team

再谈xSRC开源暨如何建设自己的漏洞收集平台

本文始发于微信公众号(腾讯安全应急响应中心):再谈xSRC开源暨如何建设自己的漏洞收集平台

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: