信息來源：FreeBuf   

本文以TSRC負(fù)責(zé)人flyh4t和白帽子專訪為素材編輯整理

2012年初，一則社會新聞攪動了當(dāng)時還不成熟的互聯(lián)網(wǎng)安全圈。一人發(fā)現(xiàn)某電商城存在漏洞，該漏洞可獲取該商城所有用戶賬號、密碼及個人信息。在雙方溝通未果后，該名“勒索者”被警方控制。

前SRC時代

在那個沒有SRC的年代，白帽子發(fā)現(xiàn)漏洞的意義很局限，向網(wǎng)站或廠商報告漏洞的途徑少之又少，索性在自己的博客里公布，這也加深了雙方的對立與誤解，盡管存在少數(shù)心懷鬼胎的人低調(diào)地做些“買賣”。 

然而，國內(nèi)這樣的空白沒有持續(xù)太久，畢竟包括谷歌、Facebook、微軟等外國互聯(lián)網(wǎng)公司都有了相對成熟的SRC應(yīng)急響應(yīng)機(jī)制或者漏洞獎計劃，鼓勵了安全測試人員與企業(yè)一道維護(hù)系統(tǒng)安全。 

就SRC而言，2012年5月建立的騰訊安全應(yīng)急響應(yīng)中心TSRC（Tencent Security Response Center）為中國首家企業(yè)自建漏洞收集平臺，不僅開了歷史之先河，更是不負(fù)眾望地穩(wěn)坐口碑TOP1。那么“國內(nèi)最早SRC”的秘密武器究竟是什么？

SRC的破殼

讓我們將時鐘重新?lián)芑?012年3月底，騰訊應(yīng)急團(tuán)隊當(dāng)時剛處理完一個外部報告的嚴(yán)重安全漏洞，時任騰訊CTO Tony給安全部門的同事發(fā)了封郵件：

“這個漏洞很嚴(yán)重，公仔不足以表達(dá)我們的感謝……”

當(dāng)時的行業(yè)中，白帽子們發(fā)現(xiàn)漏洞通知廠商的行為并不多見，而廠商的答謝也非常簡單。但是騰訊安全應(yīng)急安全團(tuán)隊意識到是時候改變游戲規(guī)則了，于是在一番討論之后，Lake2、熾天使、coolc、ls、tony共同見證了TSRC的誕生。

初長

萬事開頭難。沒有開發(fā)、沒有產(chǎn)品、沒有設(shè)計、沒有運營，這些職位都由TSR最初的幾個的安全人員兼任。

現(xiàn)任騰訊安全部負(fù)責(zé)人的Lake2曾在博客中提到：

“說實話當(dāng)時心里沒底，畢竟TSRC是業(yè)內(nèi)第一家企業(yè)自建漏洞收集平臺，萬一平臺建好了沒人來報漏洞怎么辦？萬一同時來了無數(shù)個漏洞怎么辦？萬一被競爭對手坑了怎么辦？萬一……”

即便疑慮重重，他們還是開啟了一系列“小步快跑敏捷開發(fā)”。比較核心的在于TSRC漏洞報告系統(tǒng)打通了內(nèi)部的漏洞工單系統(tǒng)，一經(jīng)確認(rèn)的漏洞就會自動同步到工單系統(tǒng)驅(qū)動業(yè)務(wù)修復(fù)，修復(fù)后會自動同步狀態(tài)到TSRC漏洞報到系統(tǒng)反饋給報告者復(fù)查。

“TSRC一期的系統(tǒng)開發(fā)及與內(nèi)部安全工單系統(tǒng)對接工作都是harite完成的，產(chǎn)品、網(wǎng)頁設(shè)計、文案話術(shù)、處理流程、微博、博客文章大部分都是我和harite做的。”

終于，騰訊漏洞報告平臺于2012年5月20日進(jìn)行內(nèi)側(cè)，5月31日正式上線。

上線首月就有38位白帽子報告了上百個漏洞，其中不乏嚴(yán)重漏洞。隨后的幾個月，發(fā)現(xiàn)的漏洞數(shù)量也是一路攀升，7月176個，8月280個……這還是最終確認(rèn)為漏洞的數(shù)量——還有更多確認(rèn)不是漏洞的報告（數(shù)倍于確認(rèn)）。

成長

在收到了良好的反應(yīng)與廣泛支持之后，TSRC開始思索下一個方向。他們意識到跟所有的產(chǎn)品一樣，建設(shè)完成只是一個開始，關(guān)鍵要靠運營。摸索中，他們找到了TSRC運營的十六字箴言——小步快跑，大膽試錯，溝通為王，以德服人。

大膽試錯

沒有生來便是成熟的產(chǎn)品。TSRC也一樣，作為國內(nèi)首家，他們更是沒有太多經(jīng)驗和先驅(qū)可以拿來參照。

前期TSRC因為沒有規(guī)則，經(jīng)常出現(xiàn)漏洞評分的爭議。于是他們很快發(fā)布了《騰訊外部報告漏洞處理流程》并且不斷更新，一直維護(hù)至今。

而后又存在漏洞推送到業(yè)務(wù)修復(fù)后，沒有修復(fù)徹底，又被外部發(fā)現(xiàn)。于是增加了“報告者確認(rèn)修復(fù)”的流程。

早期的幾個月里，考慮到經(jīng)費問題，對白帽子的獎勵采用的是按積分排序，按等級贈送禮品。而這樣白帽子無法獲得喜歡的東西，于是“兌換制”誕生了。如此一來，白帽子提交漏洞的積極性就提升了。

溝通為王

分析過早期TSRC惹出爭議的所有問題之后，他們發(fā)現(xiàn)80%以上都是跟報告者的溝通問題。問題可能存在于對漏洞的評級、處理流程等地方，TSRC也在不斷優(yōu)化平臺建設(shè)，相應(yīng)增加了評論功能，以及后來的“一鍵QQ聯(lián)系”功能。

不斷創(chuàng)新

今年是TSRC走過的第三個年頭，10月份他們將原有的“安全漏洞獎勵計劃”正式升級為“威脅情報獎勵計劃”，也就是，TSRC除原有的收集騰訊安全漏洞外，還收集與騰訊相關(guān)的任何安全威脅情報，一經(jīng)確認(rèn)，即按照威脅情報評分危害級別給予獎勵。目前，已是小有收獲。

此外，TSRC也是首個主辦校園沙龍活動的SRC?！笆澜珥敿壓诳湍感Ｐ小?0月15日來到上海交通大學(xué)，兩位頂級黑客校友盤古實驗室負(fù)責(zé)人徐昊（windknown）和全球黑客大賽世界冠軍陳良現(xiàn)身傳授經(jīng)驗，TSRC伴隨學(xué)子一同成長。

如何與白帽子相處

作為國內(nèi)成立的首個SRC，騰訊安全應(yīng)急團(tuán)隊一路走來，從無到有，從心里沒底到口碑“第一”，這其中不乏曲折與嘗試。產(chǎn)品好不好，用戶說了算。這里我們暫時將白帽子視為TSRC的用戶，聽聽他們的評價。

白帽子棟棟同學(xué)：

“TSRC人文關(guān)懷簡直貼心，漏洞處理也快，（發(fā)生）爭議會邀請業(yè)界前輩一起商討，雖然我還沒遇到過。就比如我就提交過兩枚漏洞，禮品已經(jīng)收到一大堆了。還有，TSRC也在做公益?！?

TSRC年度積分冠軍白帽子rasca1告訴FB小編，騰訊不僅獎勵高、態(tài)度好，時不時還有活動，逢年過節(jié)還給白帽子發(fā)禮物的。

“全球應(yīng)該就這一家吧，所以說是宇宙第一SRC。”

兩年前，無意間看到這個網(wǎng)站的rasca1，當(dāng)時還是個小白，提交了個XSS漏洞。然后便一直在TSRC提交漏洞，據(jù)他說雖然漏洞越挖越難，但是邊學(xué)邊挖中也收獲了很多。

對于白帽子們的如潮好評，TSRC現(xiàn)在負(fù)責(zé)人flyh4t告訴FB小編，首先謝謝大家的認(rèn)可：

“這里我要借助你們平臺感謝下白帽子。 大家經(jīng)常說我們TSRC福利好，在我看來還不是這樣的，我們給予白帽子的還太少了。比如一個漏洞，特別是高風(fēng)險的，被黑客利用了，對我們騰訊業(yè)務(wù)和騰訊用戶所能造成的損失，不是這點禮品所能衡量的。 我們現(xiàn)在其實還是爭取到的資源比較有限，給予白帽子的物質(zhì)方面的還是太少了?！?

2015互聯(lián)網(wǎng)安全年度評選

FreeBuf 主辦“2015互聯(lián)網(wǎng)安全年度評選”WitAwards報名通道已經(jīng)進(jìn)入萬眾期待的全民投票階段，年度最佳SRC、年度安全寶貝、年度安全團(tuán)隊、年度安全云、年度安全產(chǎn)品、最佳安全研究者等十二項大獎花落誰家，答案最終會在明年FIT互聯(lián)網(wǎng)安全創(chuàng)新大會上揭曉。

你心目中的年度最佳SRC又是哪一家？我要投票

*FreeBuf 編輯部，轉(zhuǎn)載請注明來自FreeBuf黑客與極客（FreeBuf.COM）