文|芝泉
昨日,工业和信息化部、国家互联网信息办公室、公安部联合发布《网络产品安全漏洞管理规定》(以下简称“规定”),对网络产品的安全漏洞收集、发布、处置、修补、报送等行为进行了规范,一下子引爆了话题,微信群和朋友圈被刷屏,大家都在纷纷讨论该规定。
其他暂且不表,我们来看看“规定”里涉及安全漏洞收集平台的条款:
第五条 网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。
第六条 鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞。
第七条 ……
鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。
这不就是鼓励企业建设安全漏洞收集平台和开展漏洞奖励计划吗?目前比较成熟的实践是企业开展SRC收集漏洞,说到SRC,我们有很多经验教训与大家分享。
腾讯安全应急响应中心(TSRC)是国内最早的SRC,自2012年上线以来一直在持续运营,与白帽子共筑网络安全,使安全应急响应平台成为一个健康运转、良性循环的生态机制。