Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
從 VulReport 談漏洞揭露與企業資安漏洞管理
Search
Sylphid
April 02, 2015
Technology
1
170
從 VulReport 談漏洞揭露與企業資安漏洞管理
Sylphid
April 02, 2015
Tweet
Share
Other Decks in Technology
See All in Technology
「最高のチューニング」をしないために / hack@delta 24.10
fujiwara3
21
3.4k
Commitment vs Harrisonism - Keynote for Scrum Niseko 2024
miholovesq
6
1.1k
とあるユーザー企業におけるリスクベースで考えるセキュリティ業務のお話し
4su_para
3
330
20241031_AWS_生成AIハッカソン_GenMuck
tsumita
0
110
LeSSに潜む「隠れWF病」とその処方箋
lycorptech_jp
PRO
2
120
MAMを軸とした動画ハンドリングにおけるAI活用前提の整備と次世代ビジョン / abema-ai-mam
cyberagentdevelopers
PRO
1
120
マネジメント視点でのre:Invent参加 ~もしCEOがre:Inventに行ったら~
kojiasai
0
470
Oracle Cloud Infrastructureデータベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
27
12k
ガバメントクラウド単独利用方式におけるIaC活用
techniczna
3
270
新R25、乃木坂46 Mobileなどのファンビジネスを支えるマルチテナンシーなプラットフォームの全体像 / cam-multi-cloud
cyberagentdevelopers
PRO
1
130
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.6k
新卒1年目が挑む!生成AI × マルチエージェントで実現する次世代オンボーディング / operation-ai-onboarding
cyberagentdevelopers
PRO
1
170
Featured
See All Featured
The Power of CSS Pseudo Elements
geoffreycrofte
72
5.3k
Docker and Python
trallard
40
3.1k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
9
680
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
131
33k
Adopting Sorbet at Scale
ufuk
73
9k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
92
16k
Code Review Best Practice
trishagee
64
17k
Speed Design
sergeychernyshev
24
570
Measuring & Analyzing Core Web Vitals
bluesmoon
1
40
What's new in Ruby 2.0
geeforr
342
31k
Designing the Hi-DPI Web
ddemaree
280
34k
GitHub's CSS Performance
jonrohan
1030
460k
Transcript
從 VulReport 談漏洞揭露 與企業資安漏洞管理 Sylphid@VulReport
About Me • 蘇展志 Sylphid • 重要資歷 – Defcon 9
speaker – HITCON 2012 speaker – 國家資通安全技術服務與防護管理計畫 – Web 應用程式安全參考指引 – 審查委員召集人
Security in SDLC Define Design Develop/Test Deploy Maintain Security requirements
Risk analysis Code Review Dynamic testing Design review Continuous monitoring
Google VRP - 1
Google VRP - 2
Google Project Zero
None
From: “The Legitimate Vulnerability Market Inside the Secretive World of
0-day Exploit Sales” - 2007
Shopping For Zero-Days: A Price List For Hackers' Secret Software
Exploits - 2012
『在 6 個月前悄然起步之後,這項服務已經向企業和政府 “ ” 客戶售出了不少 高端的 零日漏洞和黑客工具。 由於暫無補丁,因此客戶可在這段時間裡佔據先機。 Mitnick
表示,其產品由內部研製和外部黑客合作兩部分組 成,保證獨家且單價不低於 10 萬美元。』
None
中國資安團隊 - 360 和 盤古 (keen Team)
None
None
" ” 高超的電腦技術,卻沒有用在正途
None
通報案例 - 寬宏售票
通報案例 - 宏碁雲端售票
資安揭露政策 漏洞或資安事件的接收態度 通報窗口 給予提交回報者鼓勵
內部如何進行 依環境狀況制定並公告可受測範圍、提交及 獎勵方式、回應及修補時程、免責條款等 內部應有緊急應變處理小組,依制定的標準 流程作處理 根據接收漏洞型態 調整漏洞管理流程
若無資源可尋求 VulReport 協助
None
www.facebook.com/whitehat l 漏洞披露責任政策 l 如果您能給我們一段合理的時間,足以讓我們先對 您的檢舉內容作出回應後,再行公佈任何資訊,而 且您在調查期間能秉持善意,盡力避免侵犯隱私、 造成資料毀損或導致我們的服務中斷或品質下降, 我們將不會對您提出任何訴訟,或要求執法機關對 您進行調查。
l 為了向安全研究人員致謝,如舉報的安全漏洞符合 資格,將頒發獎金。
www.dropbox.com/help/4399
www.uber.com/security
阿里巴巴
github
Security Response Center
Alibaba
VulReport 未來規劃
Happy Hackers
VulReport WEB: https://vulreport.net/ FB: facebook.com/vulreport
None