【51CTO.com原創(chuàng)稿件】3月7日，維基解密分批公開了據(jù)稱是美國中情局與網(wǎng)絡攻擊相關的一批秘密文件，文件揭露了美國中央情報局黑客部隊的黑暗歷史：攻擊手法、攻擊目標、會議記錄以及幾乎所有的黑客工具均被曝光——所有的黑客工具涉及7億行代碼。

這一信息的曝出著實讓記者震驚，也讓記者深感網(wǎng)絡安全形勢的嚴峻，即便是中情局這樣的頂尖機構，如此敏感機密的材料還會被泄露。也再次印證了這世上沒有百分百安全的系統(tǒng)，任何系統(tǒng)都可能存在漏洞。然而有漏洞并不可怕，可怕的是你不知道有漏洞，甚至知道了還不去修復。

360企業(yè)安全集團董事長齊向東表示：“為了能夠幫助企業(yè)提升安全性，自2013年啟動庫帶計劃，到現(xiàn)在的補天漏洞檢測與響應平臺，360發(fā)動全社會的白帽去尋找漏洞，讓這些漏洞能夠及時被響應和修復，這也是建立補天平臺的初衷和堅持的宗旨。”

目前，補天漏洞檢測與響應平臺注冊的白帽已經(jīng)達到了31633名，累計發(fā)現(xiàn)了20多萬個漏洞，發(fā)出的獎金接近900萬元，現(xiàn)在注冊廠商已經(jīng)有4000多家，可以說，補天漏洞檢測與響應平臺為企業(yè)和白帽搭起了一座暢通的橋梁。

[[188846]]

360企業(yè)安全集團董事長齊向東

為了讓這座溝通橋梁更加通暢、高效、有效，補天漏洞檢測與響應平臺于3月30日在深圳舉辦了補天白帽大會。會上，美國知名白帽平臺HackerOne以及Defcon黑客大會的Defcon group參會并分享了精彩議題，超過百位中外白帽子、百余家企業(yè)代表共聚一堂，針對當前網(wǎng)絡安全形勢和安全威脅進行了解讀，探討了漏洞響應與防范措施，以及企業(yè)與白帽子協(xié)同機制建立等內(nèi)容。

中西合作，提供更廣泛及時的漏洞響應

美國白帽平臺初創(chuàng)公司HackerOne擁有來自150多個國家超過十萬人的注冊白帽，合作企業(yè)七百多家。其中，美國五角大樓、政府就是他們的客戶之一。Hacker one COO 王寧在接受記者采訪時介紹說：“如果一個公司真的對他的產(chǎn)品安全、對他的品牌特別在乎的話，就會已經(jīng)意識到用眾測解決軟件產(chǎn)品系統(tǒng)問題是一個很有效的方法，比如像美國Uber、airbnb、雅虎等公司。”

對于HackerOne的商業(yè)模式，王寧表示：“HackerOne是一家公司，商業(yè)模式為Market place，我們把企業(yè)和平臺連接到一起。一種是，需要做眾測的公司會付獎金給白帽，我們在中間收取服務的費用。另一種是，為需要各種服務的顧客提供服務，收取服務性的收入。”另外，為了保證雙方權益，會通過HackerOne簽訂漏洞披露的規(guī)則，比如白帽需要用什么樣的漏洞報告，哪些白帽不能夠公開等等。

在補天白帽大會上，齊向東向與會人員表示：“未來，我們雙方會在漏洞響應、安全測試等多方面展開合作，結合中西方的黑客各自的技術優(yōu)勢，有效提升網(wǎng)站安全防護能力，以應對全球化的網(wǎng)絡攻擊和日益猖獗的全球信息泄露及數(shù)據(jù)販賣行為。我們希望，我們的合作與協(xié)同，能夠?qū)崿F(xiàn)技術共享、人才共享和更廣泛、更及時的漏洞響應，促進全球互聯(lián)網(wǎng)安全水平能力的提升。”

在記者看來，無論是美國的HackerOne還是中國的補天漏洞響應與檢測平臺，最核心的都是聚集眾多白帽之力來對抗日益猖獗的安全威脅。雖身處地理位置不同，職責和意義卻相同。如果雙方能夠達成深度合作，也許會為企業(yè)漏洞響應與檢測創(chuàng)造更好的機制。

白帽子在補天平臺收入如何?聽聽白帽怎么說……

通過漏洞響應與檢測平臺，白帽子獲得的收入如何?是否能夠獲得不錯的收入呢?帶著這些疑問，在大會現(xiàn)場，記者采訪了“U神”和“華不再揚”兩名90后白帽子，他們表示，通過在補天平臺提交漏洞，他們結識了很多志同道合的朋友。他們聚集到補天平臺，一方面是興趣使然，喜歡鉆研技術，以及自我突破的那種成就感。另一方面是獎金的吸引，不同的漏洞級別有不同級別的獎金，挖得多收入就多，總體收入還不錯。此外，就是為網(wǎng)絡安全做貢獻，幫助企業(yè)及時發(fā)現(xiàn)漏洞，修復漏洞，避免漏洞造成損失。

“U神”也坦言：“通過漏洞平臺提交所得肯定不如黑產(chǎn)獲得的收入高。但是，我可以認真的說，我沒做過黑產(chǎn)，因為我對信息安全法律比較了解，很多我們細微的動作可能觸犯到法律，經(jīng)常挖了洞也是點到為止，也不會太高調(diào)?，F(xiàn)在黑產(chǎn)這方面很多人也是因為生活壓力或者需要賺更多的錢，開始認為只做一次黑產(chǎn)再也不做了，結果有些人沒有抵擋住金錢的誘惑，錢來的挺快的，就會一直做下去，慢慢陷入到黑產(chǎn)行業(yè)。” “U神”指出， 做黑產(chǎn)拿下某個網(wǎng)站的數(shù)據(jù)后，可能一天就可以賺到“白帽子”挖漏洞一個月的收入。

面對巨額的金錢誘惑確實有白帽子禁受不了金錢的引誘而加入黑產(chǎn)的陣營，不過大多數(shù)白帽子還是能堅守住底線，一方面是因為法律，一方面也是因為道德的約束。補天漏洞平臺負責人白健表示，為了提升白帽的正義感和榮譽感，除了對于白帽的正向引導和獎金禮品鼓勵外，補天定期在白帽集中區(qū)域舉辦沙龍活動，在肯定優(yōu)秀白帽能力和突出貢獻的同時，也特別邀請知名律師開設法律講堂，普及法律知識，并邀請資深安全專家，幫助白帽做好職業(yè)規(guī)劃。

企業(yè)怎么看白帽通過補天平臺提交漏洞這件事

作為選擇補天漏洞平臺進行漏洞檢測的企業(yè)來說，是怎么看待白帽通過補天平臺提交漏洞這件事呢?

攜程信息安全總監(jiān)凌云表示：“對于攜程來說，目前公司共有三萬多名員工，其中開發(fā)有三千多名，安全人員四十多人。四十多人要保障三千多人開發(fā)的程序，保障三萬多人的使用安全，很明顯是有難度的。所以需要借助一些外力來提升公司的整體安全。而補天平臺就是一個很好的外力，可以幫助我們測試系統(tǒng)。我們期望更多的白帽子或安全從業(yè)人員從更多的角度看企業(yè)安全，因為每個人的思維不同，發(fā)現(xiàn)問題的角度和思路就不同。”

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】