POC，即概念验证（Proof of Concept）；POC测试即是对目标对象按照业务需求进行验证性测试，特别是选型阶段。

企业及高层管理者都特别注重ROI，需严格控制重复投入或者是错误投入。尤其是网络安全、数据安全领域，专业性强、重投入而又无法体现业务价值，对规划引入某项技术、某个产品、某个解决方案时，均需要注重针对性、适度性和行业最佳实践。同时，各家企业又因为所处行业不同，建设进度不同，安全理念不同，对于同一项技术、产品和解决方案关注的侧重点也有所区别。

所以，依靠传统的口碑、企业实力、应用案例等维度作为决策依据的比重不断降低。而POC安全测试则很好地解决了上述问题，通过规划设计一系列小范围的典型应用场景，从真实应用的实践到战略意图的实现，来验证产品方案是否能满足业务需求，从而为规划业务合理性以及产品方案可实施性，做出更客观更准确的判断和决策。

POC测试的关键要素：

1）准确且完整梳理业务需求，并转换为技术产品或技术方案需求；

2）合理确定POC测试指标，设计构建POC测试场景和用例；

3）客观公正地对POC结果进行分析和评价。

要做好以上三点，需要足够的人员投入、时间投入，一般大厂是具备此类资源的，可惜他们都搞自研去了。而对于非大厂，特别是那些仅仅“1个人的安全部”的企业，面临安全团队人员和精力有限、应用场景少且单一、企业安全需求的自驱动弱等局面，对POC安全测试（为了叙述方便，以下将POC安全测试与POC测试混用，指的都是POC安全测试）投入意愿低，但又需要在短时间内选择引入契合度强、性价比高，又符合企业未来发展和潜在需求的安全产品。

所谓的POC安全测试生态圈，就是将业务安全需求及技术产品或技术方案安全需求、POC安全测试指标、POC安全测试场景和用例、POC安全测试结果分析和评价等信息“开源”、开放；同时，允许基于同一类业务需求对已“开源”的POC项目进行增补，给出完整的POC过程信息和结果信息，完善POC测试完备性、客观性和适用性。

由于这样一个生态不是单纯的合并同类项，参与方不仅行业多样，业务需求发散，并且在现实实践中，无论是甲方还是乙方，将安全产品业务需求、POC结果等信息主动共享的意愿都不强，同时也会对共享带来的不确定性产生忧虑。两个公司甚至公司间的部门都要考虑利益的交换，往往这些机构不会提供各自信息与其他公司做一定的聚合，导致即使在同一个公司内，POC测试信息也往往以孤岛形式出现。因此需要一种共创共享模式，形成一条利益链。

“一种共创共享模式”-联邦学习机制

联邦学习本质上是一种分布式机器学习技术或机器学习框架，在保证数据隐私安全及合法合规的基础上，实现共同建模，提升AI模型的效果。

将联邦学习机制应用至POC测试，形成共创共享的POC测试生态圈。把基于某个相对独立的业务需求，将第一家企业称为开源方，其他每个参与该模式的企业称为参与方，根据开源方、各参与方之间所属地域、行业分布的不同，把该模式分为三类：横向联邦模式、纵向联邦模式和联邦迁移模式。

横向联邦模式的本质是场景的联合，即扩展POC测试场景和POC测试用例，使得POC测试更充分，更客观反映潜在安全产品的适合度。适用于参与方间业态相同但应用场景重合度少，即业务需求重叠多，应用场景重叠少时的场景，比如不同性质的车企间，他们的业务相似（特征相似），但应用场景差别大。

步骤1：开源方在开源平台注册 “企业类型等基础特征信息”，发布己方的“业务需求，以及已转换的技术产品或技术方案需求”“POC测试指标”“POC测试场景和用例”“POC测试产品信息”“POC结果进行分析和评价报告”。

步骤2：每个参与方在开源平台注册 “企业类型等基础特征信息”，利用本企业测试场景、测试用例对相同安全产品进行POC测试，独立上传POC结果分析和评价报告至开源平台，由开源方聚合各参与方的POC结果信息，更新POC测试指标、技术产品或技术方案需求（一般涉及很少）。

步骤3：开源方或开源平台，将更新后的需求、POC指标、场景、用例和评价结果以及产品信息共享给各参与方。

步骤4：各参与方按需更新各自的选型策略和POC结果。

纵向联邦模式的本质是需求的联合，交叉不同业态下的安全需求，使得POC指标考虑更周全，设置更合理，使得POC测试结果更能体现企业未来的、潜在的需求，避免企业安全产品引入的短见性和片面性。适用于参与方间业态不同但应用场景重合度高，即业务需求重叠少，应用场景重叠多时的场景，比如房地产企业与整车企业之间，他们的业务不同（特征不同），但都存在TOC用户隐私（身份证号、家庭住址、消费习惯等）采集、应用和安全保护的相似场景。

步骤1：开源方在开源平台注册 “企业类型等基础特征信息”，发布己方的“业务需求，以及已转换的技术产品或技术方案需求”“POC测试指标”“POC测试场景和用例”“POC测试产品信息”“POC结果进行分析和评价报告”。

步骤2：每个参与方在开源平台注册 “企业类型等基础特征信息”，提出基于本企业的业务需求、已转换的技术产品或技术方案需求、POC测试指标。

步骤3：开源方以及其他参与方对于差异性的POC测试指标进行POC测试和分析、评价，并发布POC测试用例和POC结果评价。

步骤4：开源方或开源平台，将更新后的需求、POC指标、用例和评价结果、以及产品信息共享给各参与方。

步骤5：各参与方按需更新各自的业务需求及POC指标，以及更新产品引入对象。

联邦迁移模式是指利用需求、POC指标、应用场景之间的相似性，将在源企业的POC结果，被目标企业直接采纳复用的过程。适用于当参与者观察到己有需求、应用场景均已被包含且被POC测试通过，引用该模式下的成果，即得即用，少走弯路少做冤枉投入，快速实现业务需求和价值。

步骤1：开源方在开源平台注册 “企业类型等基础特征信息”，发布己方的“业务需求，以及已转换的技术产品或技术方案需求”“POC测试指标”“POC测试场景和用例”“POC测试产品信息”“POC结果进行分析和评价报告”。

步骤2：经过多轮的横向联邦模式和纵向联邦模式。

步骤3：参与方直接引用安全需求、POC测试评价结果，引入目标安全产品。在实际应用后，对该模式下发布对安全需求、POC测试评价结果的正向反馈。

POC测试生态圈里，除了上述的开源方、参与方，还有游客方、开源平台方、安全产品方和白帽子方。其中，开源平台方即是POC测试生态圈的运营方，由独立的、公正可信的第三方机构；游客方，开源平台权限有限，是成为开源方、参与方的潜在企业；安全产品方，即安全产品厂商企业；白帽子方，即个人安全从业者，利用其专业知识和能力，对各方的共创产物进行double check。

“一条利益链”-生态圈值

如何运营该POC测试生态，使得各方均积极共创共献，又从中获得必要的帮助后收益，使该生态处于良性循环中，需要“一条利益链”——生态圈值，由开源平台方按照生态贡献赋予圈值，以及后续的兑付。

对于开源方，POC测试开源、聚合发布、联邦迁移模式直接引用等按照生态圈规则，赋予不同的圈值。

对于参与方，通过不同模式下的参与度、生态贡献等，赋予不同的圈值。

对于游客方，需要通过消耗圈值共享生态成果。

对于安全产品方，可通过生态圈发布圈值奖励计划招募POC测试的开源方，共享POC测试结果、开源方和参与方需求。

对于白帽子方，通过对生态圈共创产物进行double check，依据贡献值获取圈值。

对于平台运营方，对平台运营、圈值运营，在不影响平台的客观、公正的前期下，采取公示的方式获取必要收益资金和支持。

设计和运营生态圈较复杂，还有很多未尽事宜，例如各方资质如何认定、平台如何建设、如何聚合各方共创产物、贡献值如何认定、圈值如何运营和兑现等，由于篇幅所限，未有展开。