报告撰写竞赛的创意构思

许多安全会议都会举办夺旗赛（CTF），让人们展示技术能力，但我构思了一种新型安全竞赛——基于报告撰写的竞赛。

竞赛设计

• 场景设置：创建一个虚拟公司及渗透测试/漏洞扫描结果，提供约5-6个安全问题作为测试结果。
• 时间安排：为避免占用会议当天过多时间，大部分信息会在活动前一周左右发布，但少数问题会保留至活动当天才公开。
• 目的：让参赛者能够悠闲地撰写报告主体部分，并像平常一样进行质量审核（希望如此）。但这也可能被滥用，例如团队合作撰写报告，有失公平。因此，当天发布的问题有助于展示提交者的真实写作能力及在压力下的工作表现——毕竟我们很少能悠闲地写报告。

提交与评审

• 报告需在截止日期前提交，并由评审团评判。
• 评审团至少由三人组成：一名非技术经理（董事会成员类型）、一名技术经理（IT部门主管）和一名管理员/开发人员（负责实施修复措施）。
• 这种分工覆盖了一份优秀报告应涉及的三个领域。

后续工作

• 所有提交的报告将在竞赛后公开，并附上评审意见，这有助于建立报告和评论库，我认为这将是一个非常有用的资源。

其他细节

• 参赛者可以使用任何他们有权使用的模板（例如公司模板，但需获得公司许可）。
• 由于品牌问题，完全匿名化某些报告可能较难，但应努力保持评审的公平性。
• 竞赛还可以扩展，例如要求向评审团简短汇报发现结果，或进行口头答辩式评估。

预期影响

• 我认为这是对会议标准技术挑战的一个不错补充，但由于大多数人不喜欢写报告，预计参与度不会很高。但那些参赛者可能对报告撰写充满热情，因此可能会有一些优秀作品。由此引发的讨论也将对行业产生积极影响。

请发送反馈。