APP安全认证的工作流程梳理 (点链接查看)
当前监管的重点变化梳理(下文)
0 前言关于App安全合规的监管要求很多地方都可以找到,这里就不一一赘述了。本文的重点内容是通过对监管机构发出来的通报进行统计分析,解读监管走向。
嗯哼,想要解读监管走向,首先就要了解现在都有哪些监管机构:
App违法违规收集使用个人信息治理工作组(App治理小组)
工业和信息化部信息通信管理局(工信部)
国家移动互联网应用安全管理中心(病毒中心)
地方通管局(如广东省通管局、天津通管局等)
地方网安(主要关注公司所属地的,当然也不排除有跨地域通报的情况呀)
1 通报情况
App治理小组发布的问题详情...
近些年来各监管机构对于APP的监管越来越严格,企业对APP安全合规工作也来越重视。
从2019年我负责跟进公司参与的App安全认证的试点工作到现在,已经接触App安全合规工作近两年了,非常感谢这两年一起推进工作的法务老师和同事,让我从一开始的连GB/T 35273都不知道,到之后的了解。虽然现在还是对很多状况不知所措的,但是已经有了基本的认知和处理方法。
回想这两年,虽然自己推进App安全合规工作上一直还处于摸索阶段,但也有很多可以沉淀输出的东西,由于自己太懒一直在拖延,最近睡前(失眠)总在想一些自己对App安全合规治理和整改的想法和实践,所以想形成文章和各位对App安全合规治理感兴趣...
前阵子,男朋友公司也在做src了,他吐槽说src有啥用,因为这个事和他掰扯半天,先来说说自己做SRC的变化吧。
0 收收漏洞,发发礼物,参加参加会议,维护下友商关系
↓↓↓↓↓↓
1 打造品牌影响力,做各种线下线上活动
↓↓↓↓↓↓
2 需要解决漏洞争议、需要懂安全,需要处理漏洞闭环
↓↓↓↓↓↓
3 多招一个安全工程师的成本大于SRC成本
↓↓↓↓↓↓
4 除了打造品牌影响力的目的还有招聘安全人才需求
↓↓↓↓↓↓
5 推动安全方案的落地和改进,漏洞发散查漏补缺
当然啦,可能各个SRC根据职能不同,还会做内部安全意识宣传及培训、等保合规等等工作。
前边的作用,讲出来大家都懂,所以只...
感谢ASRC,可以来学习。针对各位小哥哥小姐姐分享的经验的笔记。
1 ASRC1.1 双十一保卫战优点:与自己的业务契合
特点:多家合作,促进src生态
批注:现在src合作已经变成常态,没新意了,没有新的模式,难以在实现之前的态势。
1.2 太阳联盟成长体系痛点:src只关注漏洞,却忽略安全人才的成长。一个白帽子可能在他的存活周期内,全部提交相同类型的漏洞,在活动期间并没有成长。
解决方法:设立会员体系,根据不同等级获得不同的福利,安全课堂、免费会议、安全认证考试基金
批注:
白帽子也是需要成长的,不能一开始漏洞垃圾就对他爱答不理。
白帽子如果能够在你的平台得到成长,无论对src...
这些天一直在纠结一个问题,偶然间在SRC伐木累群里提问请教了大佬们,感谢大佬们的认真回答,深受启发
Question:经验值(贡献值)和积分(安全币)共存的意义是什么?
如果二者共存,年终排名是按前者还是后者呢?
贡献值和积分不等价,如果以贡献值做排名依据可能会流失高质量白帽子,增加平台低威胁漏洞数量。平台怎么平衡二者的关系
例如:一个中危贡献值可能是3分,积分可能是30-60分,一个高危贡献值是5,积分是100-500
Answer@ke贡献值来计算排名,只增不减,积分用来兑换的,他们会花掉吧~
贡献值是对技术的肯定,钱是给白帽子的奖励。有可能不一样的,年终排名用贡献值。
@fis...
前两天一个SRC的妹子的方案让我感觉超级棒,于是有想法写了这篇文章。对于没有走向饱和期的SRC来说,KPI一般是漏洞数、漏洞质量、白帽子这些指标,促进达成这些指标的最有效的一个途径就是线上漏洞拉新活动。但是如今各家SRC双倍积分、三倍积分的活动已经成了常态,怎么在有限的资金和条件下想出好的活动方案成了各家SRC运营追求的目标。从各家SRC的活动来看,感觉JSRC、DSRC活动各种玩法,当然背后不知道要想多久,但毕竟这两家预算是相当的多!
虽然,SRC那么多,活动那么多,但是无外乎分为两类:“自嗨”、”联动“。(早上下地铁路上突然冒出来的两个词汇,感觉很形象)。以下想法不考虑漏洞评级、...
一转眼都上班两个多月了,这两个月之所以没有那么茫然,全靠安姐姐之前的教导有方,超级感激。记点流水账,说一说这两个月都做做了什么吧~
一次活动其实还是很欣慰在我着手做SRC之前搞了这次活动,至少让我了解了SRC的现状是什么样的,包括外部白帽子、内部的安全工程师、对外的漏洞评分规范、对内的漏洞处理流程等等,哪些存在问题,哪些需要调整修改,通过一次活动就能发现很多了。
梳理各种流程规范/SRC平台因为之前没有沉淀,上班两个月有一半的时间都在梳理流程规范,包括漏洞处理规范、漏洞评级规范、威胁情报评级规范等等。当然这个过程就艰辛了,不乏各种调研,各种评审,下一篇文章是关于调研的会详细说说,顺便...
虽然这不是平台的第一次活动,但是我经手的第一次活动,而且平台之前确实也基本处于百废待兴状态,所以就当做零起步的第一次活动吧。
昨天活动刚刚结束,趁热打铁,记录并探讨下这次活动亮点与问题。当然,这些观点全部属于个人意见,欢迎批评指正,探讨交流。
预备知识SRC对外要素预备知识先说说SRC对外的几个重点要素,如果想做好对外的工作,必须要着重考虑一下几点。
SRC的成长阶段这里使用产品生命周期做个借鉴,产品生命周期分为:出生期、成长期、成熟期、衰退期。其实SRC也相似的,把它称为出生、成长、成熟、迭代迭代不断循环第二第三阶段。
零起步拉新的第一次活动前期准备杂谈对于零起步的SRC,我对...
1 罗列名单首先新建一个txt文件(也就是你要维护邀请人的list),第一行写一个变量名称,第二行开始为名字。考虑到字符数字英文字母,这里的设计了多种可能存在的例子。
2 PS模板调整选择你要批量修改的文字图层,注意文字格式是居中对齐,然后调整文本图层位置,使其在邀请函的正确位置。
3 关键步骤3.1 添加变量图像->变量->定义
选择需要批量替换的文字图层,然后勾选文本替换,将第一步中txt文档第一行的变量名写入。
3.2 导入文档文件->导入->变量数据组
选择第一步创建的txt文档,勾选“将第一列用作数据组名称”,其他保持默认设置。
3.3 导出批...
《创京东》这本书有别于《腾讯传》,因为腾讯是一个涉及各个行业的互联网公司,而京东完完全全是一个电商公司,近两年才开始在搞京东金融等其他方面产品。读完这本书最大的感受的,刘强东当初转型电商是多有远见的一个决定,他是一个非常有远见、有想法、有策略的领导者
京东的由来
借助互联网,一新的消费需求为导向,不断做出突破性的商业模式创新,从而重构供应链系统,达到降低成本、提升效率的目的,最终为消费者创造价值,其遵循的仍是零售行业的本质规律。
早期的京东是在中关村的一个做光碟生意的一个实体店,他用几年的时间靠着回头客把店面一次又一次扩大。
在非典期间,由于戒严,京东开始试水在网上销售,有着还不错的效...