今日，斗象科技推出企业SRC（安全应急响应中心），一方面让企业快速发现漏洞，另一方面让白帽子快速获得收益。联想集团安全应急响应中心也在发布会上正式入驻漏洞盒子企业SRC。

近年来，企业安全漏洞引发的事故频频发生，往往带来直接或间接的经济损失，SRC于是应运而生。简单的说，SRC就是企业连接白帽子的一个平台，企业可以在平台提出自己的安全需求、展示奖励力度等，吸引白帽子帮企业发现并提交漏洞，以提高安全防御能力。

目前，国内百度、阿里、腾讯、360、唯品会等互联网公司自建了SRC，解决之前白帽子报洞无门的问题，但大多数企业并没有这个实力。一是因为缺乏安全技术积累以及与白帽子直接对接的机制和渠道，二是SRC建立容易运营难，搭建后需要投入大量人力物力进行漏洞审核、跟踪修复、技术运营等工作。

斗象科技联合创始人CTO张天琪谈到，“对于大企业来讲，资源虽然不是问题，但SRC毕竟不是核心业务，投入有限。而中小企业本身资源有限，重业务而轻安全是普遍现象，在安全当中的投入非常之有限，且人员配备不足。” 

为了帮助更多企业建立SRC，斗象科技推出企业SRC产品，企业注册后可以在平台建立自己的主页，添加公告、发布运营信息，比如漏洞测试范围、测试时间、有效的漏洞类型、处理周期、奖励额度等，向白帽子传达自身的安全能力和态度。白帽子则可以通过平台，自行选择企业进行漏洞发掘和提交。

漏洞盒子在漏洞管理和处置体系方面拥有三年的实践经验，针对企业SRC运营成本较高、软件设施不全、宣传效果不好、人员流动性大、平台稳定性不强、团队技术性不强、漏洞响应不够及时等问题，漏洞盒子企业SRC提出了自己的解决方案。比如通过专业SRC安全运营团队，为企业提供漏洞规范、审核与漏洞生命周期管理，同时建立国际漏洞审核标准CVSS系统为标准，并帮助企业SRC进行持续的宣传、白帽子KOL管理等活动支持。

具体流程一般是，白帽子在平台提交漏洞后，由平台或企业自行来审核漏洞，核实后再发放奖励。此前，漏洞审核流程周期一般在1~3个月，漏洞修复后再发放奖金。而白帽子通常会在确认漏洞后，急于知道奖金额度及发放时间，会不停催促询问漏洞盒子官方，官方又会来催问企业，中间耗时耗力。因此，漏洞盒子企业SRC平台将奖励发放调整到漏洞确认环节，整个流程缩短至1~7天，同时要求厂商在平台公布自己的奖金设置等级及额度。另外，平台还会根据漏洞有效性、级别、报告质量、涉及资产范围等维度进行计算，进行积分和奖金的排名，以此激励白帽子。

我们此前报道过，斗象科技由互联网安全社区和媒体Freebuf脱胎而来，旗下产品“漏洞盒子”可以看成是中国版的Hackerone，类似的平台有美国的 HackerOne 、Bugcrowd 、Synack等，还有国内的乌云众测、威客众测、补天、白帽众测等。

目前，斗象科技已经沉淀了35000个“白帽子”资源，其中大部分来源于Freebuf社区。社区一方面利用媒体和社区的优势，吸引了大部分白帽子资源，另一方面，也通过培训和“漏洞检测”大赛的模式，提高白帽子的技术水平。