尽管cnhawk总是一名“终极者”,可是从TSRC数据平台逐渐,给各种企业平台的搭建全过程里,却给予了大批量的“基本建设”性的提议,一个实至名归的“建筑者”。每一次lake2与我pk的情况下,老是说:“你等着,我找hawk总击杀你!” 令人费解的是,许多连击过去,却许多迈向了一同的想法上.....
在4月19日TSRC沙龙活动上,大家当场再来一个PK,但是那时候自然环境限制,觉得pk并不是很舒服。因此hawk总来一个招式《浅谈企业漏洞收集平台建设》。总体上而言,当场pk的也是之前pk过的一个问题:法制与人治。实际上这一题型非常大! 实际上我并不彻底是人治。
最先,“公司漏洞平台将经营工作人员技术性层级提升到充足高的水准” 这个是反映网站使用价值的一个关键点。我与lake2说过:当那样服务平台的运营管理工作人员是幸福的,如同一个公共图书馆(图书馆的杀伤力,你们都懂的!),你纯粹把他当一重工作目标,那真的是“天理难容”的!!
随后在风大的演说《黑客来了怎么办》里提及一问题,那便是“度”!白帽们在找系统漏洞检测情况下的一个“度”,风大认为只到POC的方面就好了。可是那么问题来了,怎么评价这一系统漏洞的最后伤害!这一也就牵涉到得分的问题。 如果有白帽来进行,那很显著越境了,彻底可以去“南山法院”,只需腾讯官方想要。 因此这一事儿就得交到招标方来做,可是这儿又有一个问题了 ,也就是招标方工作人员得水准问题! 我还记得在现场我就讲了,之前在tsrc的工作人员也说过:“你自己的技术实力都不好,如何去评定他人汇报的系统漏洞!” 实际上这个是较为锐利的说法。因此逐渐tsrc的许多好朋友对于我是有观点,但几乎全是爷儿们,我觉得也没事儿。 可是应对一些招标方妹纸沟通交流的情况下,我便不太好去说这些话了,有点儿致伤!(这儿肯定并不是歧视啊~~)
偏题了...
那麼大家怎样来处理这个问题,那时候我提了2个提议:
1、加强对招标方安全性工作人员的武学(人才的培养)
2、加强和系统漏洞汇报者的沟通交流。(您有工作能力证实,可是沒有条件去执行。我有资质去执行,可是沒有这些工作能力!因此沟通交流交流就好了!?)
但是TSRC的人是否有选用我的,我便没有很明白了...
随后大家返回评定标准的问题上,hawk总的量法构思,实际上很多人(我还记得风大就提到)和公司都是有去做了。可是我觉得系统漏洞的情景过多,也就是评定的原因许多。而不是仅仅远程控制、当地等问题。并且我觉得web服务上说远程控制当地基本上没多少实际意义。自然这一仅仅个举例子,仿佛之前也是有外国人给予过一些共公式计算。这儿想对你说的是我还在《我的安全世界观》里提及的“定义(公式计算)是死的”到***评定或是层层落实的身上。
那么我的法子是啥呢? 我还在《给TSRC等甲方平台建设的一些建议》里提及:“应当把以上的一些原因的权重值来建立一个调整的得分方式” 也就是在“法制”的每一个标准上去个调整的范畴:
如:[ 比较严重 ] (换取点卷指数 30 )分数范畴 9-10, 调整 -5
也就是先给级别,随后融合系统漏洞的一些情景、标准来调整。
此外我对别的招标方创建这种的服务平台的情况下,一定要留意融合招标方自身的要素,例如资金投入的费用这些去深思熟虑,楷模有时是有“毒”的。不必“该学的没学得,不应该学的都用上 ”
hawk总公布“结束”篇《三谈企业漏洞收集平台建设》