Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
從 VulReport 談漏洞揭露與企業資安漏洞管理
Search
Sylphid
April 02, 2015
Technology
220
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
從 VulReport 談漏洞揭露與企業資安漏洞管理
Sylphid
April 02, 2015
Other Decks in Technology
See All in Technology
“ID沼入口” - 基本とセキュリティから始める、考え続けるためのID管理技術勉強会 告知&イントロ
ritou
0
450
ヘルスケア領域における AI 活用と その安全性担保のための取り組み (Leveraging AI in Healthcare and Our Efforts to Ensure Its Safety) - Google I/O Extended Tokyo 2026, July 11, 2026
zettaittenani
0
210
End-to-Endで考える信頼性 —LINEアプリにおけるクライアント開発×SRE連携の実践
maruloop
4
3.4k
金融の未来を考える / Thinking About the Future of Finance
ks91
PRO
0
180
『AIに負けない』より『AIと遊ぶ』」〜ワクワクが最強のテスト・QA学習戦略_公開用
odan611
2
530
ゼロをイチにする仕事が終わったあと
smasato
0
320
完全自律ロボットを作りたくて、先に開発を自律させた話(ROS Japan UG #63 LT)
rryz09
0
430
クラウド上のデータ復旧で見落としがちな制約: 医療系 SaaS の BCP 設計から得た教訓
kakehashi
PRO
0
2.8k
デジタル・デザイン:次の50年を描く「進化する青写真」
y150saya
0
840
Mastraエージェント、どのクラウドにデプロイする?
minorun365
PRO
2
170
Docker Desktop不要の時代が来る? WSL標準の「wslc」で Linuxコンテナを動かしてみた.
ueponx
0
830
インフラ寄りSREでも 開発に踏み出せる〜境界を越えてユーザー体験に向き合いたい〜
sansantech
PRO
2
2.9k
Featured
See All Featured
Unlocking the hidden potential of vector embeddings in international SEO
frankvandijk
0
870
Organizational Design Perspectives: An Ontology of Organizational Design Elements
kimpetersen
PRO
1
760
How to make the Groovebox
asonas
2
2.3k
How to build an LLM SEO readiness audit: a practical framework
nmsamuel
1
800
A better future with KSS
kneath
240
18k
HTML-Aware ERB: The Path to Reactive Rendering @ RubyCon 2026, Rimini, Italy
marcoroth
2
310
Leadership Guide Workshop - DevTernity 2021
reverentgeek
1
320
My Coaching Mixtape
mlcsv
0
170
Tips & Tricks on How to Get Your First Job In Tech
honzajavorek
1
560
ReactJS: Keep Simple. Everything can be a component!
pedronauck
666
130k
What Being in a Rock Band Can Teach Us About Real World SEO
427marketing
0
1k
End of SEO as We Know It (SMX Advanced Version)
ipullrank
3
4.3k
Transcript
從 VulReport 談漏洞揭露 與企業資安漏洞管理 Sylphid@VulReport
About Me • 蘇展志 Sylphid • 重要資歷 – Defcon 9
speaker – HITCON 2012 speaker – 國家資通安全技術服務與防護管理計畫 – Web 應用程式安全參考指引 – 審查委員召集人
Security in SDLC Define Design Develop/Test Deploy Maintain Security requirements
Risk analysis Code Review Dynamic testing Design review Continuous monitoring
Google VRP - 1
Google VRP - 2
Google Project Zero
None
From: “The Legitimate Vulnerability Market Inside the Secretive World of
0-day Exploit Sales” - 2007
Shopping For Zero-Days: A Price List For Hackers' Secret Software
Exploits - 2012
『在 6 個月前悄然起步之後,這項服務已經向企業和政府 “ ” 客戶售出了不少 高端的 零日漏洞和黑客工具。 由於暫無補丁,因此客戶可在這段時間裡佔據先機。 Mitnick
表示,其產品由內部研製和外部黑客合作兩部分組 成,保證獨家且單價不低於 10 萬美元。』
None
中國資安團隊 - 360 和 盤古 (keen Team)
None
None
" ” 高超的電腦技術,卻沒有用在正途
None
通報案例 - 寬宏售票
通報案例 - 宏碁雲端售票
資安揭露政策 漏洞或資安事件的接收態度 通報窗口 給予提交回報者鼓勵
內部如何進行 依環境狀況制定並公告可受測範圍、提交及 獎勵方式、回應及修補時程、免責條款等 內部應有緊急應變處理小組,依制定的標準 流程作處理 根據接收漏洞型態 調整漏洞管理流程
若無資源可尋求 VulReport 協助
None
www.facebook.com/whitehat l 漏洞披露責任政策 l 如果您能給我們一段合理的時間,足以讓我們先對 您的檢舉內容作出回應後,再行公佈任何資訊,而 且您在調查期間能秉持善意,盡力避免侵犯隱私、 造成資料毀損或導致我們的服務中斷或品質下降, 我們將不會對您提出任何訴訟,或要求執法機關對 您進行調查。
l 為了向安全研究人員致謝,如舉報的安全漏洞符合 資格,將頒發獎金。
www.dropbox.com/help/4399
www.uber.com/security
阿里巴巴
github
Security Response Center
Alibaba
VulReport 未來規劃
Happy Hackers
VulReport WEB: https://vulreport.net/ FB: facebook.com/vulreport
None