導(dǎo)讀一年半前，安惞加入滴滴安全，籌備滴滴出行安全應(yīng)急響應(yīng)中心（DSRC）時(shí)，是很“懵”的。安惞想了想，之前有些漏洞運(yùn)營(yíng)管理經(jīng)驗(yàn)，先做起來(lái)試試。于是就開始了流程和....

一年半前，安惞加入滴滴安全，籌備滴滴出行安全應(yīng)急響應(yīng)中心（DSRC）時(shí)，是很“懵”的。安惞想了想，之前有些漏洞運(yùn)營(yíng)管理經(jīng)驗(yàn)，先做起來(lái)試試。于是就開始了流程和規(guī)范化梳理，建立DSRC的漏洞閉環(huán)標(biāo)準(zhǔn)化流程。在與白帽子的越來(lái)越多的相處中，她又偶然聽說(shuō)了用戶運(yùn)營(yíng)的AARRR體系，才知道還可以這樣梳理日常的工作，從而建立了DSRC 的漏洞運(yùn)營(yíng)和白帽子維系的基礎(chǔ)。

1月12日，安惞告訴雷鋒網(wǎng)宅客頻道，目前DSRC 的白帽子總數(shù)達(dá)到一千多名。當(dāng)天，她首次在滴滴安全大會(huì)上分享建設(shè) SRC 的經(jīng)驗(yàn)時(shí)，不少同行拍下其 PPT “取經(jīng)”，知道創(chuàng)宇 404 實(shí)驗(yàn)室的老大黑哥（周景平）在朋友圈寫下了“觀后感”——“從TSRC 建立開始，我寫過(guò)很多關(guān)于SRC建設(shè)的文章，今天看到滴滴SRC這個(gè)流程，非常有意思。”

安惞究竟說(shuō)了什么？雷鋒網(wǎng)宅客頻道截取了安惞演講的部分PPT。

她的核心觀點(diǎn)是，為了提升漏洞和白帽子的數(shù)量與質(zhì)量，要從白帽子拉新、粗活、留存、轉(zhuǎn)化、推薦等幾方面考慮，并介紹了實(shí)踐中的具體經(jīng)驗(yàn)與方法。此外，漏洞提交不是結(jié)束，修復(fù)也不是終點(diǎn)，真正對(duì)每個(gè)有價(jià)值的漏洞復(fù)盤分析，并明確和落實(shí)改進(jìn)措施才實(shí)現(xiàn)了閉環(huán)機(jī)制。

目前，很多 SRC 都注重和白帽子的關(guān)系維護(hù)，安惞認(rèn)為，對(duì)于白帽子的物質(zhì)獎(jiǎng)勵(lì)必不可少，但不僅僅是物質(zhì)，對(duì)于白帽子而言，尊重和權(quán)益更重要——比如白帽子可以參與平臺(tái)的策劃、大會(huì)擬邀嘉賓名單制定等。

在該大會(huì)現(xiàn)場(chǎng)，滴滴公布了2017年為其貢獻(xiàn)最多的11名白帽黑客，包括無(wú)敵情癡、IT 小丑、土夫子、英雄馬、0h1in9e、標(biāo)特否、此間少年、Ryan、A1opex、winway 與 stan。

在企業(yè)用心建設(shè)SRC的同時(shí)，白帽子是怎么看待挖洞這件事的？雷鋒網(wǎng)選摘了部分白帽子給 DSRC 的留言：

為挖洞而生！我挖洞我快樂(lè)——開拓者

挖洞就是因?yàn)閻?ài)啊——FYX

我是白帽子，用黑客的技術(shù)能力發(fā)現(xiàn)問(wèn)題，用正確的價(jià)值觀解決問(wèn)題。不為利益所動(dòng)搖，不為黑產(chǎn)而彎腰，不管世界怎么辦，安全第一的初心永不變！請(qǐng)相信你的指尖有改變世界的力量!——Dream catcher

為什么挖洞？為了生活。——Henry

如果不是為了正義，那么挖洞將毫無(wú)意義——Rotten apple

挖洞的過(guò)程學(xué)習(xí)姿勢(shì)，順便賺錢減輕家里的負(fù)擔(dān)。——0h1in9e

因?yàn)橄矚g，所以挖洞。不懂安全的人是幸福的，我們的責(zé)任就是守護(hù)他們的幸福。——Tozsj

我為什么想挖洞？ 兒時(shí)的一個(gè)夢(mèng)想吧，想在網(wǎng)絡(luò)的世界里當(dāng)一個(gè)俠客。——丶諾熙

挖洞是為了好玩！對(duì)，就是為了好玩。——Poc Sir

挖洞這個(gè)就跟中毒一樣，一不小心沾上洞，看著哪都有洞，哪都想挖一挖，已經(jīng)瘋了，求解藥—— E-耀陽(yáng)97

開始只是想去挖挖漏洞，補(bǔ)充下小金庫(kù)，可以等各種游戲大作出來(lái)的時(shí)候買買買。但是當(dāng)你嘗試了各種姿勢(shì)，各種套路，包括你最引以為傲的手法都不能攻進(jìn)去，這個(gè)時(shí)候你腦袋中只剩下還有什么程序的版本沒(méi)有獲得？是否這個(gè)版本有漏洞？…………最后當(dāng)你回想你攻擊流程的時(shí)候，你會(huì)覺(jué)得也就只有爸爸我能想出這么騷的操作。—— Arrow zzzzzz

為什么挖洞？因?yàn)椤A夏夢(mèng)……因?yàn)椤业慕驗(yàn)椤妗Ｒ驗(yàn)椋@逼格很高。—— S3art丶SL

為了圓滿完成兩個(gè)百年目標(biāo)，為了中華民族偉大復(fù)興的中國(guó)夢(mèng)，挖！！！—— rstone

為什么挖洞？就是想解鎖新姿勢(shì)，沒(méi)有別的意思——Nioty

其實(shí)我們白帽子挖漏洞，很多時(shí)候不為了人民幣。只為了一句廠商通報(bào)里面的：感謝提交，已協(xié)調(diào)修復(fù)。那時(shí)候，一股自豪和成就感，油然而生。——玄道

真正的白帽子，大概就是那種每天嘴上喊著：不挖了不挖了。卻總是在排行榜出現(xiàn)的那些人嗎？——Tuuu

世界和平就好——墨

一直默默無(wú)聞的走在技術(shù)的前沿，然而卻又被無(wú)情的忽略。即使被扎心，亦不改持續(xù)創(chuàng)新的初衷。——巴九靈??o

每提交一次漏洞，就算沒(méi)有獎(jiǎng)勵(lì)，其實(shí)都很想聽到一句，謝謝。——Franklin

要的不多，一句感謝而已。——Ta,

烏云之后不一定有彩虹，有懂白帽子的SRC就好！——英雄馬

當(dāng)初進(jìn)安全圈，前輩告訴我，“我們的目標(biāo)是：沒(méi)有漏洞，”然爾現(xiàn)實(shí)中沒(méi)有漏洞是不可能的。——goblin

當(dāng)我還是程序員的時(shí)候?qū)懴铝薈haMd5，然后走向了安全的道路，希望那里是每個(gè)新人的開始對(duì)大家有所幫助，也希望銘記當(dāng)初為什么走到一起。——M

多年前我曾經(jīng)想過(guò)挖漏洞作為職業(yè)方向，但是當(dāng)年，做這個(gè)真的完全是個(gè)苦逼的事情（十年前，甚至更早一些），并且看不到多少出路。真羨慕現(xiàn)在的大學(xué)生，在學(xué)校有各種CTF，可以當(dāng)做愛(ài)好，也可以發(fā)展成職業(yè)。只要努力，就有前景。——網(wǎng)路游俠

安全是一門藝術(shù)！——IT小丑

滲透到后半夜，突然餓了，于是我們幾個(gè)去酒店下面的超市買泡面和泡椒雞爪。回來(lái)一直奮戰(zhàn)到太陽(yáng)出來(lái)才睡下。十點(diǎn)去公司開會(huì)。……致青春，致當(dāng)年的同事，感謝有你們的陪伴！——于小葵

拿著男(女)朋友手機(jī)去閨蜜(哥們)家，打開wifi，然后看能不能自動(dòng)連接，這才是社工！——echo

掃描月夜高，困倦臉上漂。誰(shuí)知白帽子，挖洞賊疲勞。——《憫白帽子》for閉關(guān)修煉技術(shù)的小菜雞