今天发现BugCrowd和HackerOne居然都改版了。这两家,包括Crowdcurity,一直以来都是Sobug平台的对标公司,身为产品狗的我一直都很关注(好吧,其实他们不是今天才改版的,其实我很久没打开这几家网站看了)。以至于一看到两家的改版内容,顿时就从内心产生一种“莫愁前路无知己”的感觉。
怎么说呢?Sobug团队从成立起,就一直思考和实践如何帮助企业解决安全问题,如何解决众测模式的痛点。当你独立研究某件事情,并且敢于一次次率先变革、试错、再变革,会产生特立独行的孤独感。这是我们首席打杂官 @冷焰 说“一切变革都值得鼓舞”的背景吧。
然而,在遥远的大西洋彼岸,某天突然有同行者用另一种语言道出了你内心的想法,思考的碰撞和印证才是对我们最大的鼓舞!虽然因为欧美和中国在环境、背景和市场等方面都相差甚远,他们的观点和探索不可能与Sobug完全吻合,但在众测必须要解决的一些关键问题上,还是有不少一致的观点。下面我从产品的角度分析一下。
BugCrowd:
认证:支持基于SAML 2.0的SSO单点登录,企业用户可以直接用内部账号登录BugCrowd。支持双因素认证,让登录更安全。
权限:厂商账号可定义不同权限,类似于Sobug正在开发的子账号功能。
开放:支持接入JIRA/HipChat。PS:JIRA是欧美企业用得比较多的项目和事件的跟踪管理软件,HipChat是企业内部的IM工具。BugCrowd应该是提供了API接口或标准化文件将漏洞导入到JIRA。
白帽:支持核心白帽内测,厂商可根据自己测试目标挑选擅长领域的白帽参加测试,也是我们正在做的一个点。
HackerOne:
开放:支持JIRA/GitHub/Bugzilla/Phabricato/Zendesk等项目跟踪平台,同BugCrowd。
保密:漏洞库访问控制,非厂商授权,HackerOne自己员工也无法看到厂商漏洞。
导出:漏洞报告可导出为.csv格式文件。
后台:厂商后台改版后也更像一个专业的漏洞管理平台了。
总结:
BugCrowd和HackerOne的改版仍然紧密围绕着“众测”这个关键词,前进的方向也是成为企业的漏洞管理平台(比如从权限、保密、导出等等改版内容可以看出)。但大胆推测,估计企业使用率和活跃数可能有个明显的瓶颈,所以两家都强调支持JIRA/BugZilla等被广泛接受的项目跟踪平台。
为什么会有瓶颈呢?
1. 数据安全:企业因为担心漏洞在第三方平台的数据安全,希望在自己内部平台管理。这是做漏洞库访问控制的原因(防止平台泄露漏洞信息)。
2. 账号安全:SSO单点登录+双因素认证,这里可以看出一家安全公司在细节上的专业程度。同时,也说明企业对于第三方平台本身的安全性,还是有很多顾虑。
3. 价值瓶颈:针对单个企业,漏洞管理因为众测模式而具有集中、低频的特点。本质上,是因为平台无法提供持续的价值。另外,还有企业内部推广使用新平台的门槛、员工可能没有外网权限等原因。因此,企业希望直接用当前正在使用的其他平台管理漏洞,这是提供接口支持JIRA/Bugzilla的原因。
