muchener's blogs

2019SRC 闭门讨论会

SRC
字数统计: 1.7k阅读时长: 6 min
2019/04/20 Share

感谢ASRC,可以来学习。针对各位小哥哥小姐姐分享的经验的笔记。

1 ASRC

1.1 双十一保卫战

优点:与自己的业务契合

特点:多家合作,促进src生态

批注:现在src合作已经变成常态,没新意了,没有新的模式,难以在实现之前的态势。

1.2 太阳联盟成长体系

痛点:src只关注漏洞,却忽略安全人才的成长。一个白帽子可能在他的存活周期内,全部提交相同类型的漏洞,在活动期间并没有成长。

解决方法:设立会员体系,根据不同等级获得不同的福利,安全课堂、免费会议、安全认证考试基金

批注:

  1. 白帽子也是需要成长的,不能一开始漏洞垃圾就对他爱答不理。
  2. 白帽子如果能够在你的平台得到成长,无论对src而言,还是对白帽子而言都是有成就感的。
  3. 变向公益,品牌宣传

1.3 大学生能力大赛

痛点:白帽子渠道单一,初级白帽子数量少

解决方法:

  1. 拓展校园渠道,实现校园白帽子增长。
  2. 通过校园行,让更多的学生了解安全行业,起到启蒙教育作用。

结果:主要是达成多所高校合作,宣传了阿里安全品牌,收获了新白帽。

批注:

  1. 高校白帽子质量有待考证,不强
  2. 校园行投入人力物力成本较多,没能力不要做,投入产出比不可能达到预期
  3. 大部分为公益行为,只有金主爸爸们才有能力。

1.4 新加坡沙龙

痛点:根据hackone统计,全球白帽子中国只占到了百分之三。在国内无可用资源的情况下,如何获取更多的白帽子。

解决办法:

  1. 做src国际化,吸引国外的白帽子挖洞。
  2. 根据白帽子分布,取比较集中白帽子的地方开展沙龙

结果:试水新加坡,和lazada一起举办Alibaba Security Meetup。每月一次,地点新加坡。

批注:

以前觉得hackone的用户画像做的没什么用,现在想想,如果做国际化确实用得到,地区就能决定你从哪里开始做。

2 AFSRC

2.1 众测

AFSRC的线上安全测试内容:

内部安全测试+白帽子众测

2.2 白帽运营

  1. 拉新:线下参展、线上运营、渠道引流、平台合作
  2. 留存:
    • 神秘任务
    • 白帽关怀
    • 城市趴
    • 签约白帽
    • 生命周期管理
    • 海外游学

2.3 漏洞测试规范

痛点:

  1. 各家src漏洞测试规范不一致。
  2. 各家src对于处理漏洞时,排查力度不够,未及时知晓触犯测试规范的白帽子

这些都会导致在白帽子在越界测试时,对最终裁定结果不满意。

解决办法:src能够统一漏洞测试标准。

批注:

需要需要,但是需要各家一起努力

3 ESRC

营销模式

  1. 直播
  2. 转发 抽奖 涨粉

4 MiSRC

国际化

痛点:

  1. 业务做大了,全球都在用小米手机,所以国际白帽子提交漏洞的平台和渠道成问题
  2. 开通国际版后,发现打款流程繁琐且可能最终不能到发到白帽子手里
  3. 发快递,快递费用超级贵
  4. 国内外标准不一致,会不会导致白帽子提交渠道变化

解决办法:

  1. 上线英文版src
  2. 采用和hackone合作打款方式
  3. 增加国际化运营(和hackone合作,全是外国人视频会议)
  4. 标准统一,即换算汇率后奖励持平(毕竟国内会做一些翻倍奖励活动,国外没有)
  5. hackone初步合作使用邀请制。

批注:

了解了一些国外的游戏厂商,也基本都是用hackone的。

如果自己做也还好,但是没有hackone的引流,白帽子量比较少,但是没有中间商赚差价啊,因为如果自己有国外可以打款的子公司,打款不成问题,其他都不是问题。

5 TSRC

5.1 规范标准

前期麻烦,尽量开始就找法务参与制定,在法律合规上做好把关,后续就会简单很多。

5.2 国际化之src

痛点:

  1. 海外存在法律风险,
  2. 支付打款困难

解决办法:

  1. 法务调研,可从法律风险低的国家现开展
  2. 打款未解决

5.3 国际化之参展

踩过的坑:

  1. 无国外参展外包商———易拉宝邮寄都坏了,现场布置极其简陋
  2. 对于国外市场不了解————东西定价过低,一枪而空

批注:

  1. 找法务一定要从开始就一起,避免出法律问题,承担不起
  2. 对于国外参展,一定要提前做好功课。

6 BSRC

6.1 市场品牌宣传——defcon china 1.0

批注:

主要还是看SRC定位吧,bsrc可能更倾向于去做品牌宣传

7 360SRC

7.1 白帽子拉新

  1. 高校社团、兴趣小组、安全团队合作
  2. 发放IOT测试设备
  3. 发起高额奖励选上计划

7.2 内宣

  1. 邮件演练(贴海报)—-做之前一定要请示老板
  2. 安全事件预览===对应到公司内违反了哪条规定,警示作用
  3. 360 安全宣传册

8 国际化圆桌

同一个问题,hackone4美刀的漏洞,有点对白帽子侮辱。。。

砍掉低价漏洞。

  1. 360SRC

    与hackone做过项目合作,合作结果不满意。

    defcon布展,带一些IOT设备参展,当做hack的设备

  2. MiSRC

    目前与hackone合作,奖励一致,合作想过不错,定向邀请,提交质量比较高

  3. BSRC

    国际会议参展,defcon china 1.0

  4. AFSRC

    海外游学:怎么做资产担保,怎么过签证等经验

    走出国门,学习,想法很好,但不要成为趋势。

  5. 大疆SRC

    大疆src 始于国外,国际白帽子对于规范标准的认可程度高于国内白帽子,所以争议情况会比较少,只要钱到位。

  6. TSRC

  7. OSRC

    打款问题,国际化选择印度开始(白帽子较多),希望能找个当地大使。

一些想法

想法

  1. 要有噱头
  2. 合作相关的安全实验室、安全团队
  3. 发展内部员工,其实像沙盒啥的哪些都是懂安全的
  4. 发展行业内的安全会议,多和腾讯安全合作
  5. 查看国际上的游戏公司都怎么做安全,做一些行业调查

问题

  1. 没有做逆向的同学,想有漏洞没人审核啊,如果src做起来,都没人审核,提交体验不好,口碑很难好转
  2. 游戏安全行业会议少,讨论更少,目标人群难选择
CATALOG
  1. 1. 1 ASRC
    1. 1.1. 1.1 双十一保卫战
    2. 1.2. 1.2 太阳联盟成长体系
    3. 1.3. 1.3 大学生能力大赛
    4. 1.4. 1.4 新加坡沙龙
  2. 2. 2 AFSRC
    1. 2.1. 2.1 众测
    2. 2.2. 2.2 白帽运营
    3. 2.3. 2.3 漏洞测试规范
  3. 3. 3 ESRC
    1. 3.1. 营销模式
  4. 4. 4 MiSRC
    1. 4.1. 国际化
  5. 5. 5 TSRC
    1. 5.1. 5.1 规范标准
    2. 5.2. 5.2 国际化之src
    3. 5.3. 5.3 国际化之参展
  6. 6. 6 BSRC
    1. 6.1. 6.1 市场品牌宣传——defcon china 1.0
  7. 7. 7 360SRC
    1. 7.1. 7.1 白帽子拉新
    2. 7.2. 7.2 内宣
  8. 8. 8 国际化圆桌
  9. 9. 一些想法
    1. 9.1. 想法
    2. 9.2. 问题
Total : 56
2021
2020
2019
2018
2017
2016
App安全合规 SRC crypto python DA mysql C# life bin os PM po web PS php 安全管理
life po