如果将用户运营的AARRR体系运用到DSRC建设中,白帽子们会是什么反应?
慢着慢着,WHAT?确定没有乱码吗?
光是上面一连串的词,就有三个让人看不懂的概念,让普通用户一脸懵逼。
AARRR?DSRC?白帽子?在探讨我们的提问之前,我们首先要简单了解这几个概念。
事实上,AARRR模型是所有产品经理都要了解的一个数据模型。那么,究竟什么是AARRR模型呢?主要包括:获取(Acquisition)、激活(Activation)、留存(Retention)、收入(Retention)、传播(Retention),也就是大致对运营有些许了解的人都经常听到的拉新、促活、留存…
而SRC,即SRC,Security Response Center,安全应急响应中心,往往是每个公司的产品、业务安全保障部门所建立,其目的是保障公司产品、业务的安全,其中就包括大家所知道的对外部安全事件的处理、接受外部漏洞的提交等。而DSRC中的D,代表滴滴出行,即滴滴出行的安全应急响应中心。
“白帽子”描述的是正面的黑客。他可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞,帮助修补漏洞。
说到这里,大家也许就会发现这是一个有效且有趣的思路了,前段时间,在滴滴安全大会上,滴滴出行的安惞就分享了这样的经验,不少同行拍下其 PPT “取经”,并且纷纷在朋友圈写下观后感。
她的核心观点是,为了提升漏洞和白帽子的数量与质量,要从白帽子拉新、粗活、留存、转化、推荐等几方面考虑,并介绍了实践中的具体经验与方法。此外,漏洞提交不是结束,修复也不是终点,真正对每个有价值的漏洞复盘分析,并明确和落实改进措施才实现了闭环机制。
目前,很多 SRC 都注重和白帽子的关系维护,安惞认为,对于白帽子的物质奖励必不可少,但不仅仅是物质,对于白帽子而言,尊重和权益更重要——比如白帽子可以参与平台的策划、大会拟邀嘉宾名单制定等。
在该大会现场,滴滴公布了2017年为其贡献最多的11名白帽黑客,包括无敌情痴、IT 小丑、土夫子、英雄马、0h1in9e、标特否、此间少年、Ryan、A1opex、winway 与 stan。
在企业用心建设SRC的同时,白帽子是怎么看待挖洞这件事的?摘取部分白帽子留言,大家感受感受:
我是白帽子,用黑客的技术能力发现问题,用正确的价值观解决问题。不为利益所动摇,不为黑产而弯腰,不管世界怎么办,安全第一的初心永不变!请相信你的指尖有改变世界的力量!——Dream catcher
因为喜欢,所以挖洞。不懂安全的人是幸福的,我们的责任就是守护他们的幸福。——Tozsj
实我们白帽子挖漏洞,很多时候不为了人民币。只为了一句厂商通报里面的:感谢提交,已协调修复。那时候,一股自豪和成就感,油然而生。——玄道
世界和平就好——墨
一直默默无闻的走在技术的前沿,然而却又被无情的忽略。即使被扎心,亦不改持续创新的初衷。——巴九灵
每提交一次漏洞,就算没有奖励,其实都很想听到一句,谢谢。——Franklin
要的不多,一句感谢而已。——Ta,
乌云之后不一定有彩虹,有懂白帽子的SRC就好!——英雄马
安全是一门艺术!——IT小丑