白帽汇赵武 | 引导得当的众测：功在当代，利在千秋

扫码订阅《中国信息安全》杂志

权威刊物 重要平台 关键渠道

邮发代号 2-786

北京白帽汇安全研究院负责人赵武5月19日在“今朝安全众测平台”启动运行发布会上发表演讲。

白帽汇在行业内是个专有名词，就是白帽子汇集的地方，我们把公司的安全研究院叫做白帽汇，意思是秉承白帽子的精神来开展安全研究。

关于众测，我想起十几年前有个平台叫ZDI，它采取付费的模式来征集漏洞，当时我感觉最顶级的漏洞全部聚集在ZDI平台。ZDI平台的拥有者或者发起者虽然本身技术能力很强，但也并没有收入那么多顶级漏洞的能力。以现在的眼光来看，ZDI应该是行业内最早的漏洞众测平台，甚至是一个超前的付费模式。

十几年过去了，在这十几年来我跟白帽子打交道的过程中，有两个感觉比较深刻。第一是众测模式不缺人才，但缺乏引导。现在漏洞越来越多，从事网络安全行业的人越来越多，引发了一个新的问题，就是不能乱测。什么是乱测？什么情况下能测，什么情况不能测？白帽子们对此很模糊，也很关心。以我和不下于1000个安全从业人员的交流经验，发现一个现象可以形容为“无处释放的荷尔蒙”，这是指在中国目前有大量的拥有安全研究能力的人才，但他们的研究能力并没有一个很好的释放空间。有些人因缘际会，走上了很好的道路，做出了顶尖的技术研究，做出了卓越的输出。但除此之外还有成千上万个具有这些能力的人，并没有很好的渠道去引导他们，那么他们有可能会从事黑产，有可能会把发现的漏洞给到一些不该给的对象。

第二个感受是，行业需要更加重视漏洞问题。当前国家层面高度重视自主创新、安全可控，因为我们在这些方面曾经偷过懒，今天我们急切地想把偷懒所造成的差距再补齐回来。很多国产化的厂商、平台正在大力研究、推广新的技术和产品，但这里就出现一个问题：企业即使通过自主创新把后门的问题解决了，但他没有办法彻底解决漏洞的问题，漏洞只会随着产品技术的发展越来越多。这是业界在推进国产化的同时，需要高度重视的问题。

谈完了怎么测，下面就是谁来测的问题。当前国产化厂商大部分都缺少安全测试能力，因为涉及到专业能力和人员成本，厂商不可能为此建立一个专门的团队来支持。安全是极其细分的一个领域，如果企业要依靠自身建立一个面面俱到的安全保障体系，难度非常大，成本非常高，为此投入的成本可能会超过所带来的收益。也就是说企业虽然很想要得到完善的安全服务，但是市场现有的安全能力，不管是自己建设的能力，还是安全厂商的能力，似乎都不足以发现全部的问题。例如近年来的攻防演练，0day漏洞被使用的越来越多，影响越来越大，很多0day漏洞还出自于一些知名企业，这就反映了安全能力的协同问题。

回到第一个关于引导的话题，中国从来不缺顶级的安全技术人员，只是有人不愿意把漏洞贡献出来，不愿意把技能贡献出来。为什么？我觉得这不是人才出了问题，而是缺少一个氛围，缺少一个平台。我们也有公开的漏洞平台的模式，比如国家层面的漏洞库CNNVD，这是免费收集的模式，当然还有Hackerone平台这种付费授权收集的模式。但我认为众测这个模式只是刚刚开始，因为以往很长一段时间，白帽子团队和甲方企业是不被互相认可的，企业认为白帽子是攻击者，白帽子认为企业不负责任，不正视安全漏洞。所以这十几年什么能测，什么不能测，很长一段时间没有标准答案。“今朝安全众测平台”这样一个正面的众测平台发布，改变了之前业界各自为政的做法。这是一个带有很强的积极引导作用的平台，一是引导企业能够正视安全问题，主动寻求安全帮助，以前的平台做不到这点；二是对前面提到的无处释放的荷尔蒙、嗷嗷待哺的白帽子群体，这也是他们一直寻求的释放能力的平台。

除了政策和资金的引导，我认为众测更多的不是一个纯技术的工作，技术当然非常重要，但众测更多的是运营的工作：如何把众测生态建立起来，如何把人吸引进来，把人培养起来，把人用起来，把人的价值创造能力聚集起来，这是未来很长一段时间要去做的事情。所以众测是个长期的工作，功在当代，利在千秋。我坚信只要在合理的引导之下，白帽子的能力会越来越强，具有家国情怀的人会越来越多，为行业、为国家所做的贡献也会越来越大。

（本文根据北京白帽汇安全研究院负责人赵武5月19日在“今朝安全众测平台”启动运行发布会上的讲话整理）

---