白帽子有福了:安全测试走向众包

乌云众测

进入5月份,白帽子众测服务忽然火了起来,几个平台不约而同的开始推广众测服务。先是乌云平台正式推广众测服务(http://test.wooyun.org/), 发布了几个测试项目,紧接着5月12日出现了一个sobug白帽众测平台(https://www.sobug.com/),据说是原腾讯安全工程师发起的项目,昨天5月20日Freebuf也正式推出了蓄谋已久的漏洞盒子测试平台(https://vulbox.com/)。一个新兴的服务模式一时间迅速吸引了大家的注意。

安全渗透测试由于专业性要求较高,大部分企业没有专业的技术团队来完成这些工作,一般会聘请第三方专业技术团队来进行安全测试。而出于实施成本的考虑,第三方团队一般会委派1-2名工程师进行快速的工具扫描,对扫描结果进行人工确认,出一份测试报告结项。由于每个工程师的安全测试思路一般比较固定,工具手段也比较固定,往往造成经过测试的系统还会有很多意想不到的漏洞。众测平台的出现,理论上可以很好的解决这个问题,由众多白帽子一起来测试,以不同的角度和思路来提供服务,减小了安全测试不全面的风险。同时,通过众测平台,水平高的白帽子完全可以利用业余时间养活自己,避免走向黑产,对业界而言也是绝对的好事。

不过,由于众测服务还是个新兴事物,还有很多问题和不够成熟的地方:

1、如何保证参与测试的白帽子的可信度?

2、如何解决客户信息和测试结果的保密性?

3、如何保证测试的全面性?

4、如何控制众测服务的成本?

5、如何打破原有的安全测试服务市场格局?

6、如何面对多家平台的竞争?等等。

目前这几个众测平台中,乌云众测已经经历了20多个项目的考验,并在金融、央企等大型行业客户拓展方面,选择了与国内知名的安全咨询服务商谷安天下合作,应当说是各方面走的更成熟更远一点。Freebuf虽是刚刚发布,携这几年积攒的流量优势,也不容小觑。Sobug承载着年轻工程师的梦想,也不会甘拜下风。

这些平台未来的发展状况如何,未来还会不会有新的众测平台出现,传统的安全服务商如何应对等,安全牛将持续保持关注和报道。

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:


关于作者

        在TMT领域具有十余年的咨询和创业经验。 目前主要关注信息安全,同时密切关注云计算、社会化媒体、移动、企业2.0等领域的技术创新和商业价值。拥有美国麻省理工学院MBA学位和清华大学经济管理学院学士学位,曾任BDA中国公司高级顾问,服务过美国高通、英特尔、中国网通、SK电讯、及沃达丰等公司。联系邮件:wangmeng@ctocio.com