解决方案:国内漏洞奖励计划大盘点

前言

近日， 安全牛网发布了《白帽子看过来：2015年漏洞奖励计划大盘点》的文章，介绍了国内外的漏洞奖励计划。不过有热心白帽子反馈国内的漏洞奖励计划没有介绍全（比如没有TSRC，也没有乌云），所以小编专门针对国内的漏洞奖励计划进行汇总输出，以飨读者。

下面介绍下企业自建自营的安全应急响应中心（*SRC），以及第三方建设的漏洞报告平台（非厂商自建），也包括各安全众测平台，以下排名不分先后。

1、腾讯安全应急响应中心（TSRC）

主页：

TSRC成立于2012年5月，是国内厂商自建的在线漏洞报告平台的先行者，共吸引了500多位白帽子参与，月度活跃用户数约50，目前发出的单个漏洞最高奖励金额是12万元。除对漏洞奖励大手笔外，TSRC还定期地在全国各地举办安全沙龙与技术分享，促进安全从业者间的交流和技术进步。

2、网易安全中心（NSC）

主页：

NSC成立于2013年1月，是继TSRC之后，国内出现的第二个厂在线漏洞报告平台。NSC团队的执行力较强，从2014年开始，网易也开始增设现金奖励计划，并且在逐步提高奖励额度，而且也不时举办“双倍积分”活动。

3、阿里巴巴安全应急响应中心（ASRC）

主页：

ASRC成立于2013年10月，也是SRC平台中的大土豪之一，单个漏洞的最高奖励为10万元。ASRC也定期在各地开办“雷峰互联网安全沙龙”，做得还不错。

4、新浪安全应急响应中心（SSRC）

主页：

SSRC成立于2013年10月，采用金币兑换礼物的制度，同时也采取月度贡献奖励，额外奖励白帽子一些苹果产品。小编亲身体会，SSRC的运营工作做得不错，值得大家学习。

5、百度安全响应中心（BSRC）

主页：

BSRC成立于2013年6月，除漏洞奖励外，他们还举办过PoC挑战赛，线下安全沙龙等活动，也专门针对百度移动产品举办过现金奖励计划、节日双倍积分等活动，奖励计划的执行思路上有自己的想法和特色。

6、京东安全应急响应中心（JSRC）

主页：

JSRC成立于2013年4月，平台也是采用积分制进行礼品兑换，也会不定期地举办安全沙龙。据前方情报人员传来的情报显示，2015年JSRC在奖励额度上会有大手笔投入，值得关注。

7、360安全响应中心（）

主页：

360针对自家产品的漏洞收集平台，前期是通过邮件报告，后来也走向了在线漏洞报告平台。除可进行积分兑换礼品外，还另外提供有现金奖励。

8、一号店安全应急响应中心（1SRC）

主页：

1SRC成立于2013年8月，主要面向业界白帽子收集1号店的业务安全漏洞，并以1号店礼品卡的形式回馈白帽子。

9、金山安全应急响应中心（KSRC）

主页：

KSRC是金山集团于2013年9月成立的，其收集的产品可能不是那么多，礼品的兑换也是采用金币制的。与其他SRC的机制不同，KSRC收到的漏洞在修复后会公开出来。

10、迅雷安全应急响应中心（XSRC）

主页：

XSRC在其平台上公开的信息较少，对于参与人数，奖励情况尚无公开数据，其产品线也不多。

11、携程安全应急响应中心（CSRC）

主页：

CSRC成立于2014年3月，用于收集携程业务的安全漏洞，漏洞奖励主要采用携程币的兑换方式，其月度贡献奖也是发放CSRC礼品商城的积分。

12、去哪儿安全应急响应中心（QSRC）

主页：

QSRC成立于2014年1月，但在其官方上只有一次奖励公告，奖励方式是采用骆驼币兑换礼品。

13、搜狗安全应急响应中心（）

主页：

成立于2014年5月，礼品兑换也是采用积分制。除积分兑换外，搜狗还提供额外的月度奖励（京东E卡）。

14、小米安全应急响应中心（）

主页：

成立于2014年1月，主要收集小米公司的业务产品漏洞，奖励小米自己生产的产品（如小米手机、小米盒子），同时再给予奖金奖励，严重漏洞奖励金额在2000~元。小编个人意见，随着小米公司的高速发展，漏洞奖励值得期待。

15、深信服安全响应中心（）

主页：

深信服安全响应中心成立于2014年2月，采用积分兑换礼品的方式回馈白帽子。作为传统厂商，其待测试的产品主要是硬件设备（防火墙占多数）。

16、国家电网信息安全漏洞提交平台

主页：

这是国内一家唯一没有域名的漏洞响应平台，成立于2014年4月，也是采用积分兑换礼品的方式。

17、中兴白帽子奖励计划

主页：

目前中兴暂无独立的漏洞响应平台，主要通过邮件反馈的方式，根据积分的不同，白帽子可获得ZTE手机或其他产品、现金奖励、ZTE参观等奖励，具体奖品及金额暂无细节公开。

18、魅族安全响应中心（）

主页：

比较低调的一个SRC平台，官网上信息较少，奖励情况不详。

19、人人网安全响应中心（）

主页：

已消失

20、快播安全应急响应中心（QSRC）

主页：

已陨落（这样也好，不用跟去哪儿争夺QSRC的所有权了）。让我们一起缅怀那个曾经带给我们无限欢乐的神器——快播。

21、乌云漏洞报告平台

主页：

乌云漏洞报告平台创立于2010年，是国内最早也最知名的在线漏洞报告平台，吸引了许多白帽子。白帽子发现厂商的漏洞后提交到乌云，漏洞确认后会获得一定的积分（乌云币），通过积分兑换礼品。对于高质量的漏洞，会直接提供现金奖励。除了漏洞报告平台本身，乌云还有安全众测（后文叙述）、知识库、社区、招聘等栏目，将白帽子团结在周围。

22、补天漏洞响应平台

主页：

补天是360建立的第三方漏洞报告平台（其前身叫做“裤带计划”，专门收集开源建站系统漏洞），通过奖励的方式向白帽子征集企业的漏洞，模式与乌云类似。补天采用现金奖励与积分兑换礼品的双重奖励模式。

23、乌云众测

主页：

乌云众测创建于2012年，依托乌云漏洞报告平台聚集的白帽子，以众包的方式为企业提供安全测试，企业按效果向白帽子付费，这也是国内第一家安全众包业务。由于乌云本身已经积累较多的白帽子资源，使得其在技术能力、参与人数、项目效果上有非常大的优势。

24、漏洞盒子

主页：

漏洞盒子是由国内知名安全资讯网站创办的，经过一段时间的发展，漏洞盒子已集安全众测和第三方漏洞报告平台于一身，依托积累的白帽子，人气也不错，甚至还有国外白帽子参与。奖励方面也是众测厂商按效果向白帽子付费，第三方漏洞（非众测厂商的漏洞）由漏洞盒子付费。

25、众测平台

主页：

也是一个安全众测平台，厂商在平台发布项目，由白帽子去进行安全测试，厂商按效果付费给白帽子，这点别无新意。不过团队比较有想法，比如针对厂商的信任问题会推出风险控制计划；还通过技术分享栏目“漏洞时间”提升影响力和积累人气。

26、威客众测

主页：

威客众测平台创立于2014年8月1日，也是一个安全众测平台。

鉴于目前国内漏洞奖励平台众多，同时，为了方便广大白帽子选择适合自己的平台，腾讯安全应急响应中心特将各类漏洞奖励平台汇总到一个页面方便大家备忘查询。链接：。请大家惠存。