本文讨论了《网络产品安全漏洞管理规定》对安全漏洞收集的影响,鼓励企业建立安全漏洞收集平台。介绍了企业自建漏洞收集平台的三种模式:低配版(邮件收集)、中配版(第三方平台托管)和高配版(自建平台)。腾讯安全应急响应中心(TSRC)开源了漏洞收集平台xSRC,并分享了运营经验和相关资源,旨在促进互联网安全生态建设。
文|芝泉
昨日,工业和信息化部、国家互联网信息办公室、公安部联合发布《网络产品安全漏洞管理规定》(以下简称“规定”),对网络产品的安全漏洞收集、发布、处置、修补、报送等行为进行了规范,一下子引爆了话题,微信群和朋友圈被刷屏,大家都在纷纷讨论该规定。
其他暂且不表,我们来看看“规定”里涉及安全漏洞收集平台的条款:
第五条 网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。
第六条 鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞。
第七条 ……
鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。
这不就是鼓励企业建设安全漏洞收集平台和开展漏洞奖励计划吗?目前比较成熟的实践是企业开展SRC收集漏洞,说到SRC,我们有很多经验教训与大家分享。
腾讯安全应急响应中心(TSRC)是国内最早的SRC,自2012年上线以来一直在持续运营,与白帽子共筑网络安全,使安全应急响应平台成为一个健康运转、良性循环的生态机制。
最低0.47元/天 解锁文章
扫一扫
375
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
