补天漏洞平台为什么能吸引众多白帽和企业?

【51CTO.com原创稿件】3月7日，维基解密分批公开了据称是美国中情局与网络攻击相关的一批秘密文件，文件揭露了美国中央情报局黑客部队的黑暗历史：攻击手法、攻击目标、会议记录以及几乎所有的黑客工具均被曝光——所有的黑客工具涉及7亿行代码。

这一信息的曝出着实让记者震惊，也让记者深感网络安全形势的严峻，即便是中情局这样的顶尖机构，如此敏感机密的材料还会被泄露。也再次印证了这世上没有百分百安全的系统，任何系统都可能存在漏洞。然而有漏洞并不可怕，可怕的是你不知道有漏洞，甚至知道了还不去修复。

360企业安全集团董事长齐向东表示：“为了能够帮助企业提升安全性，自2013年启动库带计划，到现在的补天漏洞检测与响应平台，360发动全社会的白帽去寻找漏洞，让这些漏洞能够及时被响应和修复，这也是建立补天平台的初衷和坚持的宗旨。”

目前，补天漏洞检测与响应平台注册的白帽已经达到了31633名，累计发现了20多万个漏洞，发出的奖金接近900万元，现在注册厂商已经有4000多家，可以说，补天漏洞检测与响应平台为企业和白帽搭起了一座畅通的桥梁。

360企业安全集团董事长齐向东

为了让这座沟通桥梁更加通畅、高效、有效，补天漏洞检测与响应平台于3月30日在深圳举办了补天白帽大会。会上，美国知名白帽平台HackerOne以及Defcon黑客大会的Defcon

group参会并分享了精彩议题，超过百位中外白帽子、百余家企业代表共聚一堂，针对当前网络安全形势和安全威胁进行了解读，探讨了漏洞响应与防范措施，以及企业与白帽子协同机制建立等内容。

中西合作，提供更广泛及时的漏洞响应

美国白帽平台初创公司HackerOne拥有来自150多个国家超过十万人的注册白帽，合作企业七百多家。其中，美国五角大楼、政府就是他们的客户之一。Hacker
one COO
王宁在接受记者采访时介绍说：“如果一个公司真的对他的产品安全、对他的品牌特别在乎的话，就会已经意识到用众测解决软件产品系统问题是一个很有效的方法，比如像美国Uber、airbnb、雅虎等公司。”

对于HackerOne的商业模式，王宁表示：“HackerOne是一家公司，商业模式为Market
place，我们把企业和平台连接到一起。一种是，需要做众测的公司会付奖金给白帽，我们在中间收取服务的费用。另一种是，为需要各种服务的顾客提供服务，收取服务性的收入。”另外，为了保证双方权益，会通过HackerOne签订漏洞披露的规则，比如白帽需要用什么样的漏洞报告，哪些白帽不能够公开等等。

在补天白帽大会上，齐向东向与会人员表示：“未来，我们双方会在漏洞响应、安全测试等多方面展开合作，结合中西方的黑客各自的技术优势，有效提升网站安全防护能力，以应对全球化的网络攻击和日益猖獗的全球信息泄露及数据贩卖行为。我们希望，我们的合作与协同，能够实现技术共享、人才共享和更广泛、更及时的漏洞响应，促进全球互联网安全水平能力的提升。”

在记者看来，无论是美国的HackerOne还是中国的补天漏洞响应与检测平台，最核心的都是聚集众多白帽之力来对抗日益猖獗的安全威胁。虽身处地理位置不同，职责和意义却相同。如果双方能够达成深度合作，也许会为企业漏洞响应与检测创造更好的机制。

白帽子在补天平台收入如何?听听白帽怎么说……

通过漏洞响应与检测平台，白帽子获得的收入如何?是否能够获得不错的收入呢?带着这些疑问，在大会现场，记者采访了“U神”和“华不再扬”两名90后白帽子，他们表示，通过在补天平台提交漏洞，他们结识了很多志同道合的朋友。他们聚集到补天平台，一方面是兴趣使然，喜欢钻研技术，以及自我突破的那种成就感。另一方面是奖金的吸引，不同的漏洞级别有不同级别的奖金，挖得多收入就多，总体收入还不错。此外，就是为网络安全做贡献，帮助企业及时发现漏洞，修复漏洞，避免漏洞造成损失。

“U神”也坦言：“通过漏洞平台提交所得肯定不如黑产获得的收入高。但是，我可以认真的说，我没做过黑产，因为我对信息安全法律比较了解，很多我们细微的动作可能触犯到法律，经常挖了洞也是点到为止，也不会太高调。现在黑产这方面很多人也是因为生活压力或者需要赚更多的钱，开始认为只做一次黑产再也不做了，结果有些人没有抵挡住金钱的诱惑，钱来的挺快的，就会一直做下去，慢慢陷入到黑产行业。”
“U神”指出， 做黑产拿下某个网站的数据后，可能一天就可以赚到“白帽子”挖漏洞一个月的收入。

面对巨额的金钱诱惑确实有白帽子禁受不了金钱的引诱而加入黑产的阵营，不过大多数白帽子还是能坚守住底线，一方面是因为法律，一方面也是因为道德的约束。补天漏洞平台负责人白健表示，为了提升白帽的正义感和荣誉感，除了对于白帽的正向引导和奖金礼品鼓励外，补天定期在白帽集中区域举办沙龙活动，在肯定优秀白帽能力和突出贡献的同时，也特别邀请知名律师开设法律讲堂，普及法律知识，并邀请资深安全专家，帮助白帽做好职业规划。

企业怎么看白帽通过补天平台提交漏洞这件事

作为选择补天漏洞平台进行漏洞检测的企业来说，是怎么看待白帽通过补天平台提交漏洞这件事呢?

携程信息安全总监凌云表示：“对于携程来说，目前公司共有三万多名员工，其中开发有三千多名，安全人员四十多人。四十多人要保障三千多人开发的程序，保障三万多人的使用安全，很明显是有难度的。所以需要借助一些外力来提升公司的整体安全。而补天平台就是一个很好的外力，可以帮助我们测试系统。我们期望更多的白帽子或安全从业人员从更多的角度看企业安全，因为每个人的思维不同，发现问题的角度和思路就不同。”

作者：杜美洁
来源：51CTO