寫《淺談企業漏洞收集平臺建設》時候就想要找黑鍋審一下，因為擔心我對黑鍋觀點的理解不夠透徹，畢竟技術水平差距在那邊，理解不到位也很正常。結果那天晚上寫完一下就發了。今天黑鍋看完以后表示我還是沒有理解清楚有偏差，于是大筆一揮來一篇《再談企業漏洞收集平臺建設》。晚上到家才看見，迅速讀完以后感覺松了一口氣。應該說黑鍋還是認可我的觀點的。可是為什么還要寫這篇三談：

一方面對建設平臺的理念需要補充闡述，另外一個方面是因為我在寫《淺談企業漏洞收集平臺建設》，由于一些慣性思維的原因，導致一些關鍵的地方都沒有交代清楚，引起一些不必要的誤會，所以需要這篇文章來彌補。

首先要明確也是要強調的一點，尊重白帽子這個要素，這也是在建設企業漏洞收集平臺前就必須明確的。企業漏洞收集平臺是甲方和白帽子的交互平臺，也就是說參與到這個平臺的白帽子是認可企業和得到企業的認可的，應該受到尊重，尊重不僅僅是通過獎勵來體現，還有在對白帽子提交的漏洞的重視，在白帽子的深入溝通上等等。可以說白帽子對平臺的認可是最寶貴的財富沒有之一。綜合這些方面，騰訊的TSRC無疑是走在了其他平臺的前面，很多建設和運營經驗成果都值得其他平臺借鑒和學習的。例如平臺人員和白帽子一對一的漏洞跟蹤，邀請白帽子參與漏洞爭議裁決，還有最重要的是平臺運營的態度是端正的，只要這個能保持下去平臺就會有更好的發展，我每次找lake2的時候，他都很認真的聽我的建議，而且落實去做，這個讓我很感動。這些寶貴的經驗也是其他平臺所要學習的，任何一個漏洞平臺如果離開了白帽子的支持，就算平臺開發做的再好，有再多的資金支持也不可能運轉下去，對企業安全產生幫助。

其次要說的還是平臺建設上的人治和法治問題，這個話題在淺談還是再談里面都已經有很多說明了。這里就簡單作出一些總結，首先運營人員的技術水平是必須提高的，當然這個技術水平不僅僅是安全技術，還有對安全的理解，企業漏洞的深入認識，當然還有最重要的溝通能力，但是需要企業會綜合人員工作分配還有人員成長上問題考慮，不能保證人員的穩定。所以為了適應人員的變動，還是需要有足夠的規范條例，通過規范條例來解決通用性的問題，當然沒有條例規范是完美和絕對適用的，必須再用人工來輔以修正。這也是黑鍋所說的“應該把以上的一些因素的權重來實現一個修正的評分模式”。我的觀點是，雖然法治和人治是沖突的，但是在運營中盡量以法治為準，人治輔助，對于出現啟動人工判定時候，需要檢查條例和規范是否合理。整個運營趨勢應該是無限趨近規范處理，人工干預降低到最低。

最后想說的是漏洞收集平臺獲得的漏洞對企業來說是一筆巨大的財富，黑鍋語“當這樣平臺的運營人員是幸福的，就像一個圖書館(圖書館的威力，你們都懂的!)”，在沙龍開始前幾天，我雖然知道不可能，但還是向lake2提出，想獲得一個進這個圖書館看看的機會，最后被lake2拒絕了。當然開放這個圖書館還有很多的路需要去走，我們期待這一天能早日到來。在企業內部，應該能認真分析一個漏洞，從成因，到發現方法，到可能造成的損失，從每個漏洞里面都學到足夠的價值，才是我們建設企業漏洞收集平臺的最終目的。

結束前還是想用一些篇幅寫一點關于甲方企業安全工作的問題，因為看之前一篇文章留言里有很多朋友提了一些看法，我也看見lake2在留言里有回復，我作為一個多個甲方企業工作過的安全人也想在這里簡單說一些酸甜苦辣吧。從外部看甲方企業安全工作者的確存在很多問題，比如對漏洞研究較淺，各種奇怪的工作分配。這些問題說起來也很簡單，就是由企業性質決定的，因為企業不是靠安全來賺錢，用這個最簡單的理由就可以把安全人員踢到最邊緣的位置上，有個不恰當的比喻：不失火時候誰也不愿意看到消防隊而失火以后又埋怨為什么有消防隊還失火。

這個情況雖然殘酷，但確實很多甲方安全工作者真實情況。這些年因為持續不斷的安全事件教育和信息安全被重視，才讓安全工作成為必備的崗位，得到認可，是多么的不容易。而騰訊能率先開啟企業收集平臺則顯得更加難能可貴，這也是為啥我在《騰訊安全沙龍參后感》里面寫能成立這個平臺，并且能做成這樣是多么的不容易，我們向安全的先行者—TSRC致敬。應該說再有幾年發展，甲方安全人員應該能擺脫技術落后的帽子，真正向乙方安全人員看齊。