再谈xSRC开源暨如何建设自己的漏洞收集平台

文｜芝泉

昨日，工业和信息化部、国家互联网信息办公室、公安部联合发布《网络产品安全漏洞管理规定》（以下简称“规定”），对网络产品的安全漏洞收集、发布、处置、修补、报送等行为进行了规范，一下子引爆了话题，微信群和朋友圈被刷屏，大家都在纷纷讨论该规定。

其他暂且不表，我们来看看“规定”里涉及安全漏洞收集平台的条款：

这不就是鼓励企业建设安全漏洞收集平台和开展漏洞奖励计划吗？目前比较成熟的实践是企业开展SRC收集漏洞，说到SRC，我们有很多经验教训与大家分享。

腾讯安全应急响应中心（TSRC）是国内最早的SRC，自2012年上线以来一直在持续运营，与白帽子共筑网络安全，使安全应急响应平台成为一个健康运转、良性循环的生态机制。

在我们看来，企业自建漏洞收集平台分为三个等级：

1. 低配版：通过漏洞邮箱收集

使用邮件沟通需要手动跟进，消耗人力也不利于归档，没有那么现代化，适合小企业或者漏洞收集初期阶段。

 2. 中配版：通过第三方漏洞收集平台

企业把漏洞收集平台托管给第三方，不用关心平台的开发工作，比较省事，缺点是一些定制化需求可能支持不及时甚至没法实施，适合有一定预算的中小企业。

TSRC也尝试为合作伙伴提供了漏洞收集平台SaaS版本，目前已接入几家，典型用户是微众银行。由于SaaS是几年前开发的，架构老旧不适合大量企业接入，近期我们在调研是否重构以接入更多用户，但涉及到一定的研发工作量，有需求的企业可以在本文留言，达到一定数量就立即马上安排。

3. 高配版：自建漏洞收集平台

安全漏洞属于敏感信息，托管给别人总是不放心，有条件的企业最好是自建漏洞收集平台，各种定制化随意安排，适合有人力、物力、财力的大型企业。

对于有自建想法的企业，TSRC也为你们准备了一份大礼：我们开源了漏洞收集平台xSRC。我们不赚钱，交个朋友，唯一的要求是，在你有能力的情况下一起来维护开源版本，让xSRC更强大，一起为互联网的安全做一点微小的贡献。

下载地址见文末附录。

漏洞收集平台建好了，如何运营呢？没问题，我们也有准备，大家可以参考TSRC 第一任负责人、号称TSRC CEO的lake2之前写的《企业安全应急响应中心建设理论与实践》，2015年的文章，不过里面大部分思路还是有效的。

漏洞收集是表象，本质还是产品的安全质量要过硬，那么如何做才能提升产品安全质量呢？

以我们的经验来看必须是SDL——当然现在与时俱进升级成为了DevSecOps。打一个广告，在著名的安全大会XCon 2021上，TSRC联合创始人兼第一任CTO、现腾讯开发安全负责人harite将做主题演讲，讲述他主持DevSecOps工作两年来的一些实践和思考，敬请期待。

好了，很高兴能够为行业的安全生态做一点微小的贡献，欢迎大家就SRC、xSRC进行探讨，留言留言。如果你们觉得我泉哥文章写得好，可以给我点个赞。