漏洞盒子是一款漏洞处理平台。其借助平台上的安全测试人员(白帽子)的力量,帮助企业完成应用产品系统网络乃至业务的安全需求。漏洞盒子的研发团队还拥有国内最大的安全媒体平台FreeBuf,以及针对安全领域培训的在线教育平台FreeBuf公开课。漏洞盒子于今年5月份上线,已有腾讯、360、去哪儿等厂商陆续入驻,并吸引了5000多名测试人员。现团队已经获得了天使轮融资。
“不同于市场上的其他同类产品,漏洞盒子可以发现如存在逻辑问题的高风险漏洞等,并依靠平台上众多的白帽子人工去挖掘企业产品中存在的漏洞。”漏洞盒子创始人袁劲松告诉动点科技记者,厂商可以在入驻平台后,实行漏洞奖励计划,向平台上聚集的安全测试人员,提供可测试的范围、时间以及测试规则。不同风险级别的漏洞对应不同的奖金范围,而奖金可提高测试人员的积极性及提交漏洞的质量。
漏洞盒子平台提供完善的安全应急响应中心建设体系,具有报表、漏洞提醒通知、修复方案等功能,并且能够提供整套的解决方案,如安全咨询、安全架构、代码审计等方案。此外,平台上还能及时完成与安全测试人员的沟通。
三问三答
1、安全性如何保证?
我们主要做了以下三方面的努力。
第一,对象风险控制:所有高级的项目测试,会实名制测试人员的身份、联系方式、姓名等,确保在测试过程中不会泄露任何关于项目方的信息;校验企业资质,与企业签订保密协议,确保不会泄露任何测试人员的信息,保障双方利益。第二,过程风险控制:对于项目保密级别要求较高的项目测试,我们平台或者客户会提供网络镜像流量、VPN等,确保全程审计测试人员的行为。第三,结果风险控制:测试人员未经厂商和平台允许,严禁对外透露测试过程和结果的任何细节,否则将追究法律责任,在厂商允许的情况下,可以对外发布测试过程及结果。
2、目前遇到了哪些难题?
由于平台海外测试人员较多,目前平台还没有英文版,所以海外的白帽子在提交漏洞的时候沟通与交流存在一定问题。一些厂商目前暂时还未接受无漏洞不收费的模式,但是我相信随着互联网的发展,未来几年会有更多的厂商接受测试方式,因为确实能发现产品中存在的安全问题。
3、 在功能或设计上,未来还将做哪些改进?
漏洞盒子研发前后大概用了三个月时间,在2014年春节之前,我们已经在进行架构、功能方面的构思了,2014年春节之后项目正式启动,在5月20号这个适合表白的日子正式对外发布。8月底我们将发布2.0版本,相信会有更大的惊喜。
采写随笔
FreeBuf推出的一系列服务都是为黑客与极客量身定制。从早期的媒体平台,到现如今推出的FreeBuf公开课、漏洞盒子等产品,FreeBuf或许已经实现了从受众聚合到收益变现的完美蜕变。
