屏幕截图(28)_副本

漏洞盒子是一款漏洞处理平台。其借助平台上的安全测试人员(白帽子)的力量,帮助企业完成应用产品系统网络乃至业务的安全需求。漏洞盒子的研发团队还拥有国内最大的安全媒体平台 FreeBuf,以及针对安全领域培训的在线教育平台 FreeBuf 公开课。漏洞盒子于今年 5 月份上线,已有腾讯、360、去哪儿等厂商陆续入驻,并吸引了 5000 多名测试人员。现团队已经获得了天使轮融资。

“不同于市场上的其他同类产品,漏洞盒子可以发现如存在逻辑问题的高风险漏洞等,并依靠平台上众多的白帽子人工去挖掘企业产品中存在的漏洞。” 漏洞盒子创始人袁劲松告诉动点科技记者,厂商可以在入驻平台后,实行漏洞奖励计划,向平台上聚集的安全测试人员,提供可测试的范围、时间以及测试规则。不同风险级别的漏洞对应不同的奖金范围,而奖金可提高测试人员的积极性及提交漏洞的质量。

漏洞盒子平台提供完善的安全应急响应中心建设体系,具有报表、漏洞提醒通知、修复方案等功能,并且能够提供整套的解决方案,如安全咨询、安全架构、代码审计等方案。此外,平台上还能及时完成与安全测试人员的沟通。

三问三答

1、安全性如何保证?

我们主要做了以下三方面的努力。

第一,对象风险控制:所有高级的项目测试,会实名制测试人员的身份、联系方式、姓名等,确保在测试过程中不会泄露任何关于项目方的信息;校验企业资质,与企业签订保密协议,确保不会泄露任何测试人员的信息,保障双方利益。第二,过程风险控制:对于项目保密级别要求较高的项目测试,我们平台或者客户会提供网络镜像流量、VPN 等,确保全程审计测试人员的行为。第三,结果风险控制:测试人员未经厂商和平台允许,严禁对外透露测试过程和结果的任何细节,否则将追究法律责任,在厂商允许的情况下,可以对外发布测试过程及结果。

2、目前遇到了哪些难题?

由于平台海外测试人员较多,目前平台还没有英文版,所以海外的白帽子在提交漏洞的时候沟通与交流存在一定问题。一些厂商目前暂时还未接受无漏洞不收费的模式,但是我相信随着互联网的发展,未来几年会有更多的厂商接受测试方式,因为确实能发现产品中存在的安全问题。

3、 在功能或设计上,未来还将做哪些改进?

漏洞盒子研发前后大概用了三个月时间,在 2014 年春节之前,我们已经在进行架构、功能方面的构思了,2014 年春节之后项目正式启动,在 5 月 20 号这个适合表白的日子正式对外发布。8 月底我们将发布 2.0 版本,相信会有更大的惊喜。

采写随笔

FreeBuf 推出的一系列服务都是为黑客与极客量身定制。从早期的媒体平台,到现如今推出的 FreeBuf 公开课、漏洞盒子等产品,FreeBuf 或许已经实现了从受众聚合到收益变现的完美蜕变。