一年半前,安惞加入滴滴安全,筹备滴滴出行安全应急响应中心(DSRC)时,是很“懵”的。安惞想了想,之前有些漏洞运营管理经验,先做起来试试。于是就开始了流程和规范化梳理,建立DSRC的漏洞闭环标准化流程。在与白帽子的越来越多的相处中,她又偶然听说了用户运营的AARRR体系,才知道还可以这样梳理日常的工作,从而建立了DSRC 的漏洞运营和白帽子维系的基础。

1月12日,安惞告诉雷锋网宅客频道,目前DSRC 的白帽子总数达到一千多名。当天,她首次在滴滴安全大会上分享建设 SRC 的经验时,不少同行拍下其 PPT “取经”,知道创宇 404 实验室的老大黑哥(周景平)在朋友圈写下了“观后感”——“从TSRC 建立开始,我写过很多关于SRC建设的文章,今天看到滴滴SRC这个流程,非常有意思。”

安惞究竟说了什么?雷锋网宅客频道截取了安惞演讲的部分PPT。

她的核心观点是,为了提升漏洞和白帽子的数量与质量,要从白帽子拉新、粗活、留存、转化、推荐等几方面考虑,并介绍了实践中的具体经验与方法。此外,漏洞提交不是结束,修复也不是终点,真正对每个有价值的漏洞复盘分析,并明确和落实改进措施才实现了闭环机制。

目前,很多 SRC 都注重和白帽子的关系维护,安惞认为,对于白帽子的物质奖励必不可少,但不仅仅是物质,对于白帽子而言,尊重和权益更重要——比如白帽子可以参与平台的策划、大会拟邀嘉宾名单制定等。

滴滴今天成就值怎么还没更新(滴滴这样建设SRC白帽子怎么看)(1)

滴滴今天成就值怎么还没更新(滴滴这样建设SRC白帽子怎么看)(2)

滴滴今天成就值怎么还没更新(滴滴这样建设SRC白帽子怎么看)(3)

滴滴今天成就值怎么还没更新(滴滴这样建设SRC白帽子怎么看)(4)

滴滴今天成就值怎么还没更新(滴滴这样建设SRC白帽子怎么看)(5)

滴滴今天成就值怎么还没更新(滴滴这样建设SRC白帽子怎么看)(6)

滴滴今天成就值怎么还没更新(滴滴这样建设SRC白帽子怎么看)(7)

滴滴今天成就值怎么还没更新(滴滴这样建设SRC白帽子怎么看)(8)

滴滴今天成就值怎么还没更新(滴滴这样建设SRC白帽子怎么看)(9)

滴滴今天成就值怎么还没更新(滴滴这样建设SRC白帽子怎么看)(10)

滴滴今天成就值怎么还没更新(滴滴这样建设SRC白帽子怎么看)(11)

滴滴今天成就值怎么还没更新(滴滴这样建设SRC白帽子怎么看)(12)

滴滴今天成就值怎么还没更新(滴滴这样建设SRC白帽子怎么看)(13)

在该大会现场,滴滴公布了2017年为其贡献最多的11名白帽黑客,包括无敌情痴、IT 小丑、土夫子、英雄马、0h1in9e、标特否、此间少年、Ryan、A1opex、winway 与 stan。

在企业用心建设SRC的同时,白帽子是怎么看待挖洞这件事的?雷锋网选摘了部分白帽子给 DSRC 的留言:

为挖洞而生!我挖洞我快乐——开拓者

挖洞就是因为爱啊——FYX

我是白帽子,用黑客的技术能力发现问题,用正确的价值观解决问题。不为利益所动摇,不为黑产而弯腰,不管世界怎么办,安全第一的初心永不变!请相信你的指尖有改变世界的力量!——Dream catcher

为什么挖洞?为了生活。——Henry

如果不是为了正义,那么挖洞将毫无意义——Rotten apple

挖洞的过程学习姿势,顺便赚钱减轻家里的负担。——0h1in9e

因为喜欢,所以挖洞。不懂安全的人是幸福的,我们的责任就是守护他们的幸福。——Tozsj

我为什么想挖洞? 儿时的一个梦想吧,想在网络的世界里当一个侠客。——丶诺熙

挖洞是为了好玩!对,就是为了好玩。——Poc Sir

挖洞这个就跟中毒一样,一不小心沾上洞,看着哪都有洞,哪都想挖一挖,已经疯了,求解药—— E-耀阳97

开始只是想去挖挖漏洞,补充下小金库,可以等各种游戏大作出来的时候买买买。但是当你尝试了各种姿势,各种套路,包括你最引以为傲的手法都不能攻进去,这个时候你脑袋中只剩下还有什么程序的版本没有获得?是否这个版本有漏洞?…………最后当你回想你攻击流程的时候,你会觉得也就只有爸爸我能想出这么骚的操作。—— Arrow zzzzzz

为什么挖洞?因为……华夏梦……因为……我的江湖……因为……生存。因为,这逼格很高。—— S3art丶SL

为了圆满完成两个百年目标,为了中华民族伟大复兴的中国梦,挖!!!—— rstone

为什么挖洞?就是想解锁新姿势,没有别的意思——Nioty

其实我们白帽子挖漏洞,很多时候不为了人民币。只为了一句厂商通报里面的:感谢提交,已协调修复。那时候,一股自豪和成就感,油然而生。——玄道

真正的白帽子,大概就是那种每天嘴上喊着:不挖了不挖了。却总是在排行榜出现的那些人吗?——Tuuu

世界和平就好——墨

一直默默无闻的走在技术的前沿,然而却又被无情的忽略。即使被扎心,亦不改持续创新的初衷。——巴九灵⁸⁹º

每提交一次漏洞,就算没有奖励,其实都很想听到一句,谢谢。——Franklin

要的不多,一句感谢而已。——Ta,

乌云之后不一定有彩虹,有懂白帽子的SRC就好!——英雄马

当初进安全圈,前辈告诉我,“我们的目标是:没有漏洞,”然尔现实中没有漏洞是不可能的。——goblin

当我还是程序员的时候写下了ChaMd5,然后走向了安全的道路,希望那里是每个新人的开始对大家有所帮助,也希望铭记当初为什么走到一起。——M

多年前我曾经想过挖漏洞作为职业方向,但是当年,做这个真的完全是个苦逼的事情(十年前,甚至更早一些),并且看不到多少出路。真羡慕现在的大学生,在学校有各种CTF,可以当做爱好,也可以发展成职业。只要努力,就有前景。——网路游侠

安全是一门艺术!——IT小丑

渗透到后半夜,突然饿了,于是我们几个去酒店下面的超市买泡面和泡椒鸡爪。回来一直奋战到太阳出来才睡下。十点去公司开会。……致青春,致当年的同事,感谢有你们的陪伴!——于小葵

拿着男(女)朋友手机去闺蜜(哥们)家,打开wifi,然后看能不能自动连接,这才是社工!——echo

扫描月夜高,困倦脸上漂。谁知白帽子,挖洞贼疲劳。——《悯白帽子》for闭关修炼技术的小菜鸡

,