Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
從 VulReport 談漏洞揭露與企業資安漏洞管理
Search
Sylphid
April 02, 2015
Technology
1
180
從 VulReport 談漏洞揭露與企業資安漏洞管理
Sylphid
April 02, 2015
Tweet
Share
Other Decks in Technology
See All in Technology
LinkX_GitHubを基点にした_AI時代のプロジェクトマネジメント.pdf
iotcomjpadmin
0
160
標準技術と独自システムで作る「つらくない」SaaS アカウント管理 / Effortless SaaS Account Management with Standard Technologies & Custom Systems
yuyatakeyama
2
950
AI技術トレンド勉強会 #1MCPの基礎と実務での応用
nisei_k
1
240
Uniadex__公開版_20250617-AIxIoTビジネス共創ラボ_ツナガルチカラ_.pdf
iotcomjpadmin
0
140
キャディでのApache Iceberg, Trino採用事例 -Apache Iceberg and Trino Usecase in CADDi--
caddi_eng
0
170
A2Aのクライアントを自作する
rynsuke
1
140
強化されたAmazon Location Serviceによる新機能と開発者体験
dayjournal
2
140
VCpp Link and Library - C++ breaktime 2025 Summer
harukasao
0
220
Snowflake Summit 2025 データエンジニアリング関連新機能紹介 / Snowflake Summit 2025 What's New about Data Engineering
tiltmax3
0
210
OTFSG勉強会 / Introduction to the History of Delta Lake + Iceberg
databricksjapan
0
120
成立するElixirの再束縛(再代入)可という選択
kubell_hr
0
610
Amazon Q Developer for GitHubとAmplify Hosting でサクッとデジタル名刺を作ってみた
kmiya84377
0
3.5k
Featured
See All Featured
Building Flexible Design Systems
yeseniaperezcruz
328
39k
Visualization
eitanlees
146
16k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
667
120k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.5k
jQuery: Nuts, Bolts and Bling
dougneiner
63
7.8k
[RailsConf 2023] Rails as a piece of cake
palkan
55
5.6k
Thoughts on Productivity
jonyablonski
69
4.7k
BBQ
matthewcrist
89
9.7k
Agile that works and the tools we love
rasmusluckow
329
21k
Build The Right Thing And Hit Your Dates
maggiecrowley
36
2.7k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
20
1.3k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
15
1.5k
Transcript
從 VulReport 談漏洞揭露 與企業資安漏洞管理 Sylphid@VulReport
About Me • 蘇展志 Sylphid • 重要資歷 – Defcon 9
speaker – HITCON 2012 speaker – 國家資通安全技術服務與防護管理計畫 – Web 應用程式安全參考指引 – 審查委員召集人
Security in SDLC Define Design Develop/Test Deploy Maintain Security requirements
Risk analysis Code Review Dynamic testing Design review Continuous monitoring
Google VRP - 1
Google VRP - 2
Google Project Zero
None
From: “The Legitimate Vulnerability Market Inside the Secretive World of
0-day Exploit Sales” - 2007
Shopping For Zero-Days: A Price List For Hackers' Secret Software
Exploits - 2012
『在 6 個月前悄然起步之後,這項服務已經向企業和政府 “ ” 客戶售出了不少 高端的 零日漏洞和黑客工具。 由於暫無補丁,因此客戶可在這段時間裡佔據先機。 Mitnick
表示,其產品由內部研製和外部黑客合作兩部分組 成,保證獨家且單價不低於 10 萬美元。』
None
中國資安團隊 - 360 和 盤古 (keen Team)
None
None
" ” 高超的電腦技術,卻沒有用在正途
None
通報案例 - 寬宏售票
通報案例 - 宏碁雲端售票
資安揭露政策 漏洞或資安事件的接收態度 通報窗口 給予提交回報者鼓勵
內部如何進行 依環境狀況制定並公告可受測範圍、提交及 獎勵方式、回應及修補時程、免責條款等 內部應有緊急應變處理小組,依制定的標準 流程作處理 根據接收漏洞型態 調整漏洞管理流程
若無資源可尋求 VulReport 協助
None
www.facebook.com/whitehat l 漏洞披露責任政策 l 如果您能給我們一段合理的時間,足以讓我們先對 您的檢舉內容作出回應後,再行公佈任何資訊,而 且您在調查期間能秉持善意,盡力避免侵犯隱私、 造成資料毀損或導致我們的服務中斷或品質下降, 我們將不會對您提出任何訴訟,或要求執法機關對 您進行調查。
l 為了向安全研究人員致謝,如舉報的安全漏洞符合 資格,將頒發獎金。
www.dropbox.com/help/4399
www.uber.com/security
阿里巴巴
github
Security Response Center
Alibaba
VulReport 未來規劃
Happy Hackers
VulReport WEB: https://vulreport.net/ FB: facebook.com/vulreport
None