TSRC首例通用软件漏洞奖励得主现身说法

2014年注定是腾讯安全应急响应中心(TSRC)大投入、高产出的快速发展年。继TSRC专门设立百万专项基金诚邀互联网安全专家审计腾讯重要移动App产品安全问题后，10月28日，TSRC再次史无前例地重磅推出了“通用软件漏洞奖励计划“，其中最高奖金额度可以达到50万。

TSRC此次活动吸引了海内外大量网络安全专家热烈响应，针对通用框架、组件、应用程序或者系统的漏洞提交了大量报告及协助处理，其中包括在业界颇享赞誉、源自清华大学的蓝莲花团队。11月8日，该团队通过“通用软件漏洞奖励计划”向TSRC反馈了HTTPS环境下主流浏览器的Cookie注入漏洞，并协助进行解决维护，获得TSRC重奖10万税后现金。

对于参与TSRC本次“通用软件漏洞奖励计划”，蓝莲花团队表示感觉非常有意义，不仅能为互联网安全学有所用，还能惊喜获得10万现金奖励。因此，小编与蓝莲花团队进行了一次有意义的访谈。(蓝莲花团队以下简称蓝)

小编：如何了解到TSRC漏洞奖励计划?

蓝：很多安全圈内朋友都有关注，他们推荐的。

小编：什么吸引你们来参与到我们TSRC报漏洞活动?

蓝：我们希望通过发现漏洞、修复漏洞来提高系统的安全性，把安全问题消灭在萌芽之中。 现在我们有一些研究成果，也希望通过良好的专业平台进行发布。TSRC开展“通用软件漏洞奖励计划“刚好契合了我们的需求，我们希望在这个平台发布能引起业界对相关安全问题的关注和重视，及时解决这些安全问题。

小编：您是否认同关注网络安全问题的重要性，觉得TSRC开展的报漏洞活动有意义? 请简单阐述一下。

蓝：网络已经覆盖到人们生活的方方面面，网络安全的重要性是毋庸置疑的。TSRC报漏洞活动的开展很有意义。首先，腾讯作为IT大企业，对安全的投入本身就会起到很好的宣传示范作用，提高大家对网络安全问题的关注度，这也体现了TSRC对于互联网安全的一种责任感;其次，这也为网络安全研究人员提供了一个很好的交流沟通平台，对安全研究、漏洞发现有很好正向引导作用。

小编：您觉得TSRC开展的通用软件漏洞奖励计划是否有吸引力?或者也可以给我们一些奖励机制上的建议。

蓝：很有吸引力。一方面时机很合适，今年爆发了多个通用软件漏洞，为研究人员提供一个通用软件安全研究成果展示的平台，本身就是一种吸引;同时奖励力度也很有吸引力，看得出TSRC是下了功夫和诚意的。

小编：您会继续关注参加我们TSRC的活动或推荐给身边的伙伴么?

蓝：会继续关注并推荐给朋友。TSRC这样好的交流和展示平台是值得推广的。

小编：今年腾讯应急响应中心(TSRC)拿出了100多万奖励有贡献的互联网安全专家，并坚持致力于TSRC不断的发展和完善，您是否有些好的建议能帮助我们前进?

蓝：希望能充分利用IT大企业的平台和资源，提高公众的网络安全风险意识和技术防范水平，同时也保持为安全研究人员提供更良性的交流沟通平台。坚持多举办类似“通用软件漏洞奖励”的活动，加大对基础网络安全、新领域网络安全研究的支持力度。

无论是之前“腾讯移动APP产品安全漏洞奖励计划”，还是本次“通用软件漏洞奖励计划”， TSRC坚定地在网络安全道路上迈出一步又一步。不积跬步，无以至千里，未来TSRC将继续厚积薄发，推出更多报漏计划广邀互联网专家一起不遗余力地守护互联网安全。