信息来源：FreeBuf   

本文以TSRC负责人flyh4t和白帽子专访为素材编辑整理

2012年初，一则社会新闻搅动了当时还不成熟的互联网安全圈。一人发现某电商城存在漏洞，该漏洞可获取该商城所有用户账号、密码及个人信息。在双方沟通未果后，该名“勒索者”被警方控制。

前SRC时代

在那个没有SRC的年代，白帽子发现漏洞的意义很局限，向网站或厂商报告漏洞的途径少之又少，索性在自己的博客里公布，这也加深了双方的对立与误解，尽管存在少数心怀鬼胎的人低调地做些“买卖”。 

然而，国内这样的空白没有持续太久，毕竟包括谷歌、Facebook、微软等外国互联网公司都有了相对成熟的SRC应急响应机制或者漏洞奖计划，鼓励了安全测试人员与企业一道维护系统安全。 

就SRC而言，2012年5月建立的腾讯安全应急响应中心TSRC（Tencent Security Response Center）为中国首家企业自建漏洞收集平台，不仅开了历史之先河，更是不负众望地稳坐口碑TOP1。那么“国内最早SRC”的秘密武器究竟是什么？

SRC的破壳

让我们将时钟重新拨回2012年3月底，腾讯应急团队当时刚处理完一个外部报告的严重安全漏洞，时任腾讯CTO Tony给安全部门的同事发了封邮件：

“这个漏洞很严重，公仔不足以表达我们的感谢……”

当时的行业中，白帽子们发现漏洞通知厂商的行为并不多见，而厂商的答谢也非常简单。但是腾讯安全应急安全团队意识到是时候改变游戏规则了，于是在一番讨论之后，Lake2、炽天使、coolc、ls、tony共同见证了TSRC的诞生。

初长

万事开头难。没有开发、没有产品、没有设计、没有运营，这些职位都由TSR最初的几个的安全人员兼任。

现任腾讯安全部负责人的Lake2曾在博客中提到：

“说实话当时心里没底，毕竟TSRC是业内第一家企业自建漏洞收集平台，万一平台建好了没人来报漏洞怎么办？万一同时来了无数个漏洞怎么办？万一被竞争对手坑了怎么办？万一……”

即便疑虑重重，他们还是开启了一系列“小步快跑敏捷开发”。比较核心的在于TSRC漏洞报告系统打通了内部的漏洞工单系统，一经确认的漏洞就会自动同步到工单系统驱动业务修复，修复后会自动同步状态到TSRC漏洞报到系统反馈给报告者复查。

“TSRC一期的系统开发及与内部安全工单系统对接工作都是harite完成的，产品、网页设计、文案话术、处理流程、微博、博客文章大部分都是我和harite做的。”

终于，腾讯漏洞报告平台于2012年5月20日进行内侧，5月31日正式上线。

上线首月就有38位白帽子报告了上百个漏洞，其中不乏严重漏洞。随后的几个月，发现的漏洞数量也是一路攀升，7月176个，8月280个……这还是最终确认为漏洞的数量——还有更多确认不是漏洞的报告（数倍于确认）。

成长

在收到了良好的反应与广泛支持之后，TSRC开始思索下一个方向。他们意识到跟所有的产品一样，建设完成只是一个开始，关键要靠运营。摸索中，他们找到了TSRC运营的十六字箴言——小步快跑，大胆试错，沟通为王，以德服人。

大胆试错

没有生来便是成熟的产品。TSRC也一样，作为国内首家，他们更是没有太多经验和先驱可以拿来参照。

前期TSRC因为没有规则，经常出现漏洞评分的争议。于是他们很快发布了《腾讯外部报告漏洞处理流程》并且不断更新，一直维护至今。

而后又存在漏洞推送到业务修复后，没有修复彻底，又被外部发现。于是增加了“报告者确认修复”的流程。

早期的几个月里，考虑到经费问题，对白帽子的奖励采用的是按积分排序，按等级赠送礼品。而这样白帽子无法获得喜欢的东西，于是“兑换制”诞生了。如此一来，白帽子提交漏洞的积极性就提升了。

沟通为王

分析过早期TSRC惹出争议的所有问题之后，他们发现80%以上都是跟报告者的沟通问题。问题可能存在于对漏洞的评级、处理流程等地方，TSRC也在不断优化平台建设，相应增加了评论功能，以及后来的“一键QQ联系”功能。

不断创新

今年是TSRC走过的第三个年头，10月份他们将原有的“安全漏洞奖励计划”正式升级为“威胁情报奖励计划”，也就是，TSRC除原有的收集腾讯安全漏洞外，还收集与腾讯相关的任何安全威胁情报，一经确认，即按照威胁情报评分危害级别给予奖励。目前，已是小有收获。

此外，TSRC也是首个主办校园沙龙活动的SRC。“世界顶级黑客母校行”10月15日来到上海交通大学，两位顶级黑客校友盘古实验室负责人徐昊（windknown）和全球黑客大赛世界冠军陈良现身传授经验，TSRC伴随学子一同成长。

如何与白帽子相处

作为国内成立的首个SRC，腾讯安全应急团队一路走来，从无到有，从心里没底到口碑“第一”，这其中不乏曲折与尝试。产品好不好，用户说了算。这里我们暂时将白帽子视为TSRC的用户，听听他们的评价。

白帽子栋栋同学：

“TSRC人文关怀简直贴心，漏洞处理也快，（发生）争议会邀请业界前辈一起商讨，虽然我还没遇到过。就比如我就提交过两枚漏洞，礼品已经收到一大堆了。还有，TSRC也在做公益。”

TSRC年度积分冠军白帽子rasca1告诉FB小编，腾讯不仅奖励高、态度好，时不时还有活动，逢年过节还给白帽子发礼物的。

“全球应该就这一家吧，所以说是宇宙第一SRC。”

两年前，无意间看到这个网站的rasca1，当时还是个小白，提交了个XSS漏洞。然后便一直在TSRC提交漏洞，据他说虽然漏洞越挖越难，但是边学边挖中也收获了很多。

对于白帽子们的如潮好评，TSRC现在负责人flyh4t告诉FB小编，首先谢谢大家的认可：

“这里我要借助你们平台感谢下白帽子。 大家经常说我们TSRC福利好，在我看来还不是这样的，我们给予白帽子的还太少了。比如一个漏洞，特别是高风险的，被黑客利用了，对我们腾讯业务和腾讯用户所能造成的损失，不是这点礼品所能衡量的。 我们现在其实还是争取到的资源比较有限，给予白帽子的物质方面的还是太少了。”

2015互联网安全年度评选

FreeBuf 主办“2015互联网安全年度评选”WitAwards报名通道已经进入万众期待的全民投票阶段，年度最佳SRC、年度安全宝贝、年度安全团队、年度安全云、年度安全产品、最佳安全研究者等十二项大奖花落谁家，答案最终会在明年FIT互联网安全创新大会上揭晓。

你心目中的年度最佳SRC又是哪一家？我要投票

*FreeBuf 编辑部，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）