全球首家漏洞响应平台上线发公开信邀企业参与

【环球科技综合报道】12月1日,全球首家漏洞响应安全平台“补天”(butian.360.cn)上线。“补天”漏洞响应平台负责人、360网站安全总监赵武为此专门发出公开信,建议企业建立SRC并邀请企业参与补天平台。

为保护企业网络安全,微软、Google、Facebook、360、阿里巴巴等国内外知名企业提出了SRC(安全应急响应中心)概念,发动全网有贡献精神的网络安全专家(白帽子)来为企业提交安全漏洞。事实证明,这种模式可以非常有效且快速的获取企业安全漏洞信息,显著提高企业安全防御能力。

但由于安全技术积累等原因,并不是每个企业都有建立SRC的能力。针对此,360推出了“补天”漏洞响应平台。

“补天”漏洞响应平台将帮助企业建立SRC,让企业网络安全,让白帽子获得收益。白帽子可以通过“补天”平台直接向企业披露漏洞信息,企业也可以直接给白帽子联系并提供物质奖励。让企业最快发现漏洞,让白帽最快获得收益,最大程度避免企业由于安全漏洞遭受损失。

以下是公开信全文:

尊敬的企业信息安全负责人:

您好!

我是“补天”漏洞响应平台的负责人赵武,给您写这封信,是希望邀您参与近期推出的“补天”漏洞响应平台。简单地讲,“补天”是为国内企业与网络安全专家搭建的对话交流平台,网络安全专家通过“补天”平台为企业提供漏洞,平台将根据业界通用的标准为漏洞确定不同的危险级别,在此基础上企业可以适当奖励发现漏洞的网络安全专家。

我们认为,“补天”漏洞响应平台有利于帮助企业提升企业网络信息安全防护能力,有利于建立一个对各方都有益的企业安全生态系统。

在互联网时代,企业面临的安全威胁,其重要性如何强调都不过分。国内超过95%的网站存在漏洞、超过40%的网站存在后门。因此,互联网上每天都在爆发“拖库”事件,从普通网站到手机应用软件,用户信息随时有大批量泄露的可能。一直以来,企业非常痛恨由漏洞导致的黑客攻击行为,但同时也没有更好的方式加以解决。黑客的攻击行为不仅对企业造成了直接经济损失,而且处理不当会形成公关危机,导致客户丧失对企业的信任。

面对企业安全漏洞风险,包括微软、Google、Facebook及Twitter等在内的国外知名企业提出了SRC(SecurityResponseCenter,安全应急响应中心)概念,其理念是发动全网有贡献精神的网络安全专家来为企业提交安全漏洞。

采用SRC方式提交的漏洞不会对外公开,因此不会形成品牌危机。目前,国内包括360、腾讯、百度、阿里巴巴等在内的知名互联网企业都建立了自己的SRC。事实证明,这种模式可以非常有效且快速的获取企业安全漏洞信息,提高企业安全防御能力。

然而,并不是每个企业都有能力建立SRC,因为这些企业缺乏安全技术积累(人员和技术),以及缺乏与众多网络安全专家建立联系沟通的机制和渠道。作为国内最大的互联网安全企业,360与国内外众多网络安全专家建立了良好的联系。360建立的“补天”漏洞响应平台,对愿意加入的企业来说,就是一个SRC,网络安全专家通过补天平台负责任的披露漏洞信息,避免给企业品牌造成影响。

具体而言,“补天”漏洞响应平台能帮助企业建立SRC,让企业安全,让网络安全专家获益,360可以为用户提供如下服务:

●与网络安全专家建立联系,发动大家负责任的提交漏洞,确保企业最快最全面的发现安全漏洞;

●针对提交的漏洞,我们会进行细致准确地审核,确保漏洞的真实有效性和不重复性;

●协调企业与网络安全专家进行积极正向的沟通,保证更好更快地解决漏洞问题;

●给予企业漏洞安全技术方面的指导,确保问题快速有效的进行修复;

发现漏洞是网络安全专家的劳动成果,类似于知识产权,所以我们鼓励企业能够在“补天”平台上通过现金奖励的方式来表达对安全专家的认可和尊重。这样可以促进网络安全专家更积极的支持企业、更多的发现安全漏洞、更负责任的提交漏洞详情,以及更深入的协助企业进行漏洞修复,共同维护企业信息安全。

“补天”漏洞响应平台已于12月1日正式推出,欢迎大家积极参与,共同打造国内一流“企业-白帽子”交流对话平台,提升企业网络信息安全防护能力。

THE END
1.有赞开源Vue组件库Vant遭恶意代码注入,已发布安全新版本vue命IT之家 12 月 21 日消息,有赞开源组件库 Vant 维护者于 12 月 19 日在 GitHub 发布公告,表示由于其中一位团队成员的 npm token 被盗用,并注入了恶意脚本代码,官方紧急废弃了多个受影响版本,发布了最新版本。 导致问题原因 维护者表示: 源头是某个 GitHub Actions workflow 存在 Pwn Request 漏洞,位于另一个 https://www.163.com/dy/article/JJU1CM2D0511B8LM.html
2.访谈︱补天一家不太一样的漏洞检测和响应平台白健:说到这儿有一点值得强调一下,精英白帽子的身份其实已经很透明了,在各个平台都需要注册、登记,补天平台甚至还有实地面对面地接触与访谈,白帽子都是一群充满正义感的年轻人。 与此相反,做黑产的人是不敢把身份亮出来的。没有正义感的驱使,提交漏洞的奖金对他来说只是蝇头小利,跟黑产的回报相差太大。 https://www.aqniu.com/news-views/23662.html
3.补天补天漏洞响应平台旨在建立企业与白帽子之间的桥梁,帮助企业建立SRC(安全应急响应中心),让企业更安全,让白帽子获益。https://m.butian.net/
4.2024补天收取漏洞规则补天收什么样的漏洞漏洞提交平台如何收取漏洞你要想交漏洞挣钱的话,除非参与那种报名的活动,就是报名企业呃奖金奖赏的那种。专门挖漏洞的活动。 在补天提交漏洞和CNVD都不一样,在补天提交漏洞,你必须把那个详细的步骤什么的给写清楚,就是写在那个在线的编辑器里面,在线的编辑器。然后的话那个压缩包里面可以放一些图片或者是视频之类的。然后用于提供你复现漏洞https://blog.csdn.net/weixin_53693367/article/details/140277819
5.渗透测试实习生我的简历网7.在补天漏洞响应平台提交过相关漏洞,如: 任意浏览用户信息漏洞 QTVA-2020-1329170 支付逻辑漏洞 QTVA-2020-1315769 任意用户登录漏洞 QTVA-2020-1323797 存储型xss漏洞 QTVA-2020-1332182 工作经验 2020.x -2020x 实习经验 2020.x -2020x 1.具有较强的逻辑思维与独立思考并解决问题能力 https://www.100chui.com/article/52328.html
6.补天漏洞重现小记上午十一点,部门大佬发了一个补天认领的漏洞,于是抓紧看了一波,发现是一个已经一年多没管的项目,看了下过程,原理大概知道,于是自己动手实践了下,惭愧,一直到下午才复现漏洞。 0x12 漏洞提交详情如下 很直白,大致就是:抓包后修改了返回结果,然后app将结果处理后进入下一步操作(查询订单等信息),这个时候白帽子已经https://www.jianshu.com/p/dd6a6df19517
7.帮助企业建立安全应急响应中心漏洞响应平台“补天”上线“补天”漏洞响应平台负责人赵武表示,发现漏洞是网络安全专家的劳动成果,类似于知识产权,“我们鼓励企业能够在‘补天’平台上通过现金奖励的方式来表达对白帽子的认可和尊重。这样可以促进网络白帽子更积极的支持企业、更多的发现安全漏洞、更负责任的提交漏洞详情,以及更深入的协助企业进行漏洞修复,共同维护企业信息安全。http://www.vsharing.com/k/net/2014-12/708464.html
8.关于补天漏洞的审核,大家有什么好的建议!送送送如果可以支付库币,查看其他白帽子提交的漏洞细节,这样应该能学到更多。希望补天是漏洞响应平台,还可以http://bbs.360.cn/thread-6218197-1-1.html
9.任务四:众测平台漏洞盒子,提交任意10个漏洞,并通过审核通过培训后可以成为web安全工程师,查找漏洞并修补漏洞,达到职业的水准。也可以成为漏洞平台白帽子获取奖金。 课程简介 认真学习完前四部分课程,到国家信息安全漏洞共享平台或补天等类似的平台提交漏洞都是没问题的。 优秀的学员在一期,第二期的时候就可以获取乌云邀请码了。 https://edu.51cto.com/lesson/554813.html
10.多省市排查社保系统漏洞四成已修复邓焕告诉记者,平台对信息安全漏洞的发布和处理,会经过提交漏洞、漏洞确认、通报产商、厂商确认、厂商修复五个步骤。“我们发现漏洞后会第一时间联系系统运营单位,告知漏洞存在,同时向中央网信办、国家互联网应急中心以及公安部相关部门上报。” 邓焕称,昨日,网信办相关工作人员已经就此事和补天漏洞响应平台进行了沟通。https://www.fjrd.gov.cn/ct/3-93621