以安全产品经理的视角设计应用的登陆功能SDK（BRD篇）

0x00、BRD商业需求文档

Business Requirements Document：用途用于产品在投入研发之前，由企业高层作为决策评估的重要依据，通过本文档需要说服企业领导认同其商业价值所在。

（1）市场调研

1.1、问题需求分析

分析手段：登陆系统的安全性评估，涉及到本业务的主要是国内传统安全厂商（绿盟、天融信等）的渗透测试服务、互联网方式的众测平台（漏洞盒子、wooyun、sobug、威客众测），发现的大部分安全漏洞都是由登陆设计缺陷导致的。由于信息披露透明度先从众测平台开始分析拥有自己的安全Team团队BAT。抽样选择阿里巴巴 时间：2015年

账号体系控制不严 占4%、设计缺陷/逻辑错误23%、后台弱口令4%、未授权访问和权限绕过2%等等，还有很多漏洞都是很用户登录有关。

那么，现有的业务流程是：传统厂商或者众测平台给出漏洞报告，虽然有一些更改建议，但是都是修修补补，治标不治本，其实原因很简单，白帽子大多不是程序员，不能站在开发的角度思考问题，但是做为互联网企业的程序员又不能从安全的角度上考虑编程。

所以，是不是可以有这个这样的产品（SDK）保证互联网企业信息安全的第一道关卡。=>登陆SDK

（2）商业模式

通过以上问题的描述，本项目产生的产品是Login SDK，针对的市场，主要是互联网公司。登录的对象覆盖所有的登录形式，包括App登录、web登录、PC端登录（C/S架构）、第三方登录（微博、微信）等。本项目的销售模式，通过向互联网公司销售嵌入其程序API Login SDK，解决绝大部分真对登录漏洞的入侵。

（3）市场空间

安全市场传统的盈利模式：传统厂商：签署渗透测试服务，根据检查范围等分Tier级别，大致的销售金额为8-10万RMB，众测厂商是按需收费，就是检测到高中低级别漏洞然后和厂商要钱，一次中小型测试 大约2-5万RMB，分给白帽子 10-30%不等。

但是，没有有效的提供一种解决的手段。也就是说，我们要为用户提供一个for Development的解决方案，这样可以缩短漏洞修复的时间，根据众测平台的经验，一般一个漏洞从发现到关闭大约半年的时间。这段时间真是有外人发现这个漏洞，并且有利于的攻击方法。对互联网企业造成数据泄露的损失。这是无法评估的。

这个市场有多大，（采样：wooyun和漏洞盒子，这两家最大 呵呵）：

根据wooyun和漏洞盒子的公开数据统计，目前有大约880家互联网企业在册，如果再2年内这个市场覆盖率到达1/3的话、每家大致的费用在2-3万（因为一个安全程序员目前北京的月薪都要2-3万）。这个市场大约：

880*3*1/3 = 大约880多万销售额。

（4）市场竞争分析

因为这块是空白市场。只是针对老的商业市场进入。

（5）市场营销

由于本项目需要和众测平台紧密合作，所以，主要的营销费用主要体现在和wooyun、漏洞盒子、sobug、威客众测等平台合作推广的费用，当然前期可以免费试用。

（6）产品功能构思

技术实现架构

客户端：iOS/Android SDK

服务器端：php+redis+mysql+python

（7）产品运营构思

通过租用云主机，统计攻击思路、更好的改进产品。

通过各个平台SDK 上报用户登录次数、恶意登录次数、恶意攻击类型。

（8）成本计划

开发周期为半年、

成本：104万半年

收益预期：836万/两年

营收增长率 目前无法确定。

0x01、小结

通过上述分析，可以完整的说明了这个产品商业需求文档，主要是给各位BOSS看的，包括：CEO(关注公司战略规划、风控)、CFO(对数字敏感、收益预期)、COO(推广资源、数字化运营)、CTO(技术资源投入、功能模块和实现难度)。下一篇文章会详细做PRD(产品需求文档)，详细描述产品功能、原型设计、业务流程图、用例描述等。

* 作者：bt0sea，属FreeBuf原创奖励计划，未经许可禁止转载