一般来说大厂由于有相关的安全人员,在衡量漏洞危险等级方面应该还是挺专业的。可搜狗安全应急响应中心建立后不久,乌云上漏洞的Rank值突然降低到了0-5分的水平,而在建立之前,则一直浮动在5-10之间。
文/童斐
作者系互联网漏洞平台知名“白帽子”。
对于互联网安全漏洞,目前中国企业都越来越重视。各大企业都纷纷建立了各种SRC(漏洞报告平台),从各个安全研究者手里“收购”各类安全漏洞。
拿腾讯来举例子,并以第三方互联网漏洞平台乌云上的数据来做一些说明。乌云上腾讯的漏洞数量为1393个。其中,已忽略漏洞个数424个,已公开或已确认状态漏洞969个。
厂商回复:从5000字到50字
首先来看一个漏洞,500wan彩票站SQL注入可导致注册信息泄露。当然,重点不在漏洞本身,而是这个漏洞的厂商回复,洋洋洒洒5000多字。再看看评论,白帽子们一片叫好声。我想绝大多数白帽会认为,这才是一个认真在对待“安全问题”的厂商。
如果“厂商回复”能够一定程度上反映厂商对“安全漏洞“的态度,那么腾讯对待乌云上的“安全漏洞”的态度怎么样呢?
我们来看看2010年至2015年,腾讯对于969个已公开或已确认状态的漏洞的回复情况,这里我们画个图,纵轴表示每个漏洞中厂商回复的长度,横轴则是2010至2015年的每个漏洞。不同年份采用了不同颜色的点来表示。