“众测市场还很小,应合作大于竞争”:Sobug 要做测试众包的淘宝

 •  原文链接
“众测市场还很小,应合作大于竞争”:Sobug 要做测试众包的淘宝

江金涛更被人熟悉的名字是冷焰,他是前腾讯安全工程师。深圳、成都、北京、上海,再回北京,然后去台湾——这是江金涛告诉我他最近一段时间的行程。到不同的地方,见不同的人,和他们聊聊众测聊聊安全行业的看法和未来。他和安全及相关行业的各路人马都有沟通,都谈过相关的话题,他富于沟通,这与他新创立的白帽众测平台Sobug对同行以开放的心态合作的呼吁几乎是一脉相承的。

提到众测大家首先想到的还是乌云。毫不夸张的说,在安全市场中,乌云是国内第一个提出众测概念并且把它推向公众视野内的。“他们是第一家提出众测概念并且让多数人和公司了解了的,功不可没。” 但在公司和产品运营的角度上,Sobug 和乌云的思路正好相反。

冷焰很排斥公司被互联网或者安全相关背景的机构或公司投资,他认为一家致力于做安全服务,特别是涉及漏洞检测和上报这样敏感行为的平台,如果被行业内资本控制就很难做到公正和公信力。“被这些公司投资了,就很难不为他们输送利益,这样会涉及到商业机密和不正当竞争,而这些在投资后团队自己都是很难有话语权的。”

相对于部分现有众测平台由白帽自主发现漏洞再分散提交而将甲方摆在相对被动位置的模式,Sobug 有着相反的思路。

冷焰对 Sobug 的理想定位是这样的:让甲方采取主动权,由公司主动在平台发布众包测试请求,再由白帽接单开始为其提供测试结果和漏洞报告,最后由甲方向白帽和平台付费。

这其中有几个众测平台容易碰到问题要解决:

  • 首先是民间白帽的潜在风险:甲方往往难以对民间白帽付诸信任而将产品交给他们测试,与此同时平台也很难保证这些白帽测试后的漏洞走向。信任是众测的根本,否则这个市场需求就不成立。对此,Sobug 采用了堡垒机的解决方案。通过在 Sobug 向白帽提供的堡垒机中模拟甲方申测产品环境,从而将参与测试的黑客其行为限制在可控范围内,同时将对堡垒机的远程操作进行录屏以监控他们的行为。

  • 其次是报酬:报酬是驱动白帽参与测试并最终报告给厂商的直接因素。如果报酬不合理,白帽测试的动力就无法保证,更坏的情况可能导致漏洞流入其它渠道。Sobug 的做法是有平台建立定价体系和定价标准,再交由厂商选择接受或进一步与白帽商讨,从而保障白帽的收入同时让漏洞价格更公开透明。

  • 接着是与传统安全厂商的共生关系:众测平台理论上与传统安全厂商存在竞争关系,而且会压低传统安全厂商服务的价格。冷焰决定将竞争转化为合作。现在传统安全厂商有很大一部分支出用在市场和销售,如果和平台互相做信誉背书,传统安全厂商在平台领取甲方发放的高端测试需求,就能极大地减少技术之外的成本。

“众测市场还很小,应合作大于竞争。”冷焰一直在强调这个。不管是对绿盟这样的传统厂商,还是对乌云、漏洞盒子这类同模式公司,冷焰都希望和他们保持合作的关系。

他希望和 Sobug 相同模式的厂商能够成立一个众测联盟,联盟可以共享客户和白帽资源,形成相互监督的机制。众测在国内的市场还很小,他不希望在行业需求培养成型之前就陷入内耗。通过众包把普通需求分散个价格相对较低白帽,可以吸引更多中小型公司主动接触安全行业,修补自身产品潜在的安全问题。甲方和传统安全公司成本降低,普通白帽的曝光率和收入增加,最终是一个双赢局面。

冷焰还不希望将众测局限于安全市场。“众测是一个真正符合互联网思维的模式,我们希望做成众包界的淘宝。以后不仅是安全,还可以有工程测试、产品测试甚至交互设计外包。”

腾讯出身的他对自己的产品很有信心,他们核心团队现在共五个人,其中有一个是设计师。“我们要把厂商发布和白帽提交的体验潜心做到最好,自己潜心做技术和平台”,他希望把平台的存在感和使用门槛降到最低,最终成为一个对用户而言仅收取服务费的可信发布平台。