安全脉搏(SecPulse.com)致力于独家优质技术文章和安全报告分享;关注于业内高质量安全咨讯和安全事件;分享技术,悦享品质,关注安全,关注安全脉搏是安全脉搏的口号。
安全脉搏(SecPulse.com)以服务各大SRC为宗旨及提高自身影响力,以塑建更安全纯净的网络环境,培养更多优秀的网络安全精英为己任。
帮助各大SRC(安全应急响应中心)发现漏洞和潜在的威胁,最大程度避免企业由于安全漏洞遭受损失,尊重白帽子的劳动产出,让白帽子获得收益,积极推动互联网安全行业的发展。
加入安全脉搏SRC小分队:可以跟大牛们并肩作战,维护网络安全,能够学到各种奇淫绝技,能够获得各种收益。
下面介绍下企业自建自营的安全应急响应中心(*SRC),以及第三方建设的漏洞报告平台(非厂商自建),也包括各安全众测平台,以下排名不分先后。(摘自腾讯安全应急响应中心TSRC文章)
1、腾讯安全应急响应中心(TSRC)
主页:http://security.tencent.com
TSRC成立于2012年5月,是国内厂商自建的在线漏洞报告平台的先行者,共吸引了500多位白帽子参与,月度活跃用户数约50,目前发出的单个漏洞最高奖励金额是12万元。除对漏洞奖励大手笔外,TSRC还定期地在全国各地举办安全沙龙与技术分享,促进安全从业者间的交流和技术进步。
2、网易安全中心(NSC)
NSC成立于2013年1月,是继TSRC之后,国内出现的第二个厂在线漏洞报告平台。NSC团队的执行力较强,从2014年开始,网易也开始增设现金奖励计划,并且在逐步提高奖励额度,而且也不时举办“双倍积分”活动。
3、阿里巴巴安全应急响应中心(ASRC)
主页:http://security.alibaba.com
ASRC成立于2013年10月,也是SRC平台中的大土豪之一,单个漏洞的最高奖励为10万元。ASRC也定期在各地开办“雷峰互联网安全沙龙”,做得还不错。
4、新浪安全应急响应中心(SSRC)
SSRC成立于2013年10月,采用金币兑换礼物的制度,同时也采取月度贡献奖励,额外奖励白帽子一些苹果产品。小编亲身体会,SSRC的运营工作做得不错,值得大家学习。
5、百度安全响应中心(BSRC)
BSRC成立于2013年6月,除漏洞奖励外,他们还举办过PoC挑战赛,线下安全沙龙等活动,也专门针对百度移动产品举办过现金奖励计划、节日双倍积分等活动,奖励计划的执行思路上有自己的想法和特色。
6、京东安全应急响应中心(JSRC)
JSRC成立于2013年4月,平台也是采用积分制进行礼品兑换,也会不定期地举办安全沙龙。据前方情报人员传来的情报显示,2015年JSRC在奖励额度上会有大手笔投入,值得关注。
7、360安全响应中心(360SRC)
360针对自家产品的漏洞收集平台,前期是通过邮件报告,后来也走向了在线漏洞报告平台。360SRC除可进行积分兑换礼品外,还另外提供有现金奖励。
8、一号店安全应急响应中心(1SRC)
1SRC成立于2013年8月,主要面向业界白帽子收集1号店的业务安全漏洞,并以1号店礼品卡的形式回馈白帽子。
9、金山安全应急响应中心(KSRC)
KSRC是金山集团于2013年9月成立的,其收集的产品可能不是那么多,礼品的兑换也是采用金币制的。与其他SRC的机制不同,KSRC收到的漏洞在修复后会公开出来。
10、迅雷安全应急响应中心(XSRC)
XSRC在其平台上公开的信息较少,对于参与人数,奖励情况尚无公开数据,其产品线也不多。
11、携程安全应急响应中心(CSRC)
CSRC成立于2014年3月,用于收集携程业务的安全漏洞,漏洞奖励主要采用携程币的兑换方式,其月度贡献奖也是发放CSRC礼品商城的积分。
12、去哪儿安全应急响应中心(QSRC)
QSRC成立于2014年1月,但在其官方上只有一次奖励公告,奖励方式是采用骆驼币兑换礼品。
13、搜狗安全应急响应中心(SGSRC)
SGSRC成立于2014年5月,礼品兑换也是采用积分制。除积分兑换外,搜狗还提供额外的月度奖励(京东E卡)。
14、小米安全应急响应中心(MiSRC)
MiSRC成立于2014年1月,主要收集小米公司的业务产品漏洞,奖励小米自己生产的产品(如小米手机、小米盒子),同时再给予奖金奖励,严重漏洞奖励金额在2000~50000元。小编个人意见,随着小米公司的高速发展,MiSRC漏洞奖励值得期待。
4月份 安全脉搏的两位同学更是都拿到高危2w元的奖励。
15、深信服安全响应中心(SFSRC)
主页:http://security.sangfor.com.cn
深信服安全响应中心成立于2014年2月,采用积分兑换礼品的方式回馈白帽子。作为传统厂商,其待测试的产品主要是硬件设备(防火墙占多数)。
16、国家电网信息安全漏洞提交平台
这是国内一家唯一没有域名的漏洞响应平台,成立于2014年4月,也是采用积分兑换礼品的方式。
17、中兴白帽子奖励计划
主页:http://www.zte.com.cn/cn/about/corporate_citizenship/security/201405/t20140530_424338.html
目前中兴暂无独立的漏洞响应平台,主要通过邮件反馈的方式,根据积分的不同,白帽子可获得ZTE手机或其他产品、现金奖励、ZTE参观等奖励,具体奖品及金额暂无细节公开。
18、魅族安全响应中心(MZSRC)
比较低调的一个SRC平台,官****较少,奖励情况不详。
19、人人网安全响应中心(RRSRC)
已消失
20、快播安全应急响应中心(QSRC)
已陨落(这样也好,不用跟去哪儿争夺QSRC的所有权了)。让我们一起缅怀那个曾经带给我们无限欢乐的神器——快播。
21、乌云漏洞报告平台
乌云漏洞报告平台创立于2010年,是国内最早也最知名的在线漏洞报告平台,吸引了许多白帽子。白帽子发现厂商的漏洞后提交到乌云,漏洞确认后会获得一定的积分(乌云币),通过积分兑换礼品。对于高质量的漏洞,会直接提供现金奖励。除了漏洞报告平台本身,乌云还有安全众测(后文叙述)、知识库、社区、招聘等栏目,将白帽子团结在周围。
22、补天漏洞响应平台
补天是360建立的第三方漏洞报告平台(其前身叫做“裤带计划”,专门收集开源建站系统漏洞),通过奖励的方式向白帽子征集企业的漏洞,模式与乌云类似。补天采用现金奖励与积分兑换礼品的双重奖励模式。
23、乌云众测
乌云众测创建于2012年,依托乌云漏洞报告平台聚集的白帽子,以众包的方式为企业提供安全测试,企业按效果向白帽子付费,这也是国内第一家安全众包业务。由于乌云本身已经积累较多的白帽子资源,使得其在技术能力、参与人数、项目效果上有非常大的优势。
24、漏洞盒子
漏洞盒子是由国内知名安全资讯网站FreeBuf创办的,经过一段时间的发展,漏洞盒子已集安全众测和第三方漏洞报告平台于一身,依托Freebuf积累的白帽子,人气也不错,甚至还有国外白帽子参与。奖励方面也是众测厂商按效果向白帽子付费,第三方漏洞(非众测厂商的漏洞)由漏洞盒子付费。
25、Sobug众测平台
Sobug也是一个安全众测平台,厂商在平台发布项目,由白帽子去进行安全测试,厂商按效果付费给白帽子。不过Sobug团队比较有想法,比如针对厂商的信任问题会推出风险控制计划;还通过技术分享栏目“漏洞时间”提升影响力和积累人气。
威客众测平台创立于2014年8月1日,也是一个安全众测平台。
本文作者:SP小编
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/5970.html
赞 果断求加入