在無數(shù)個向廠商提交漏洞互聯(lián)網(wǎng)新聞頭條極速版的日子里，以下的場景你是否似曾相識互聯(lián)網(wǎng)新聞頭條極速版？

被廠商“白嫖”：“這根本不是一個漏洞！”但當(dāng)你再次復(fù)查時，發(fā)現(xiàn)漏洞已經(jīng)被修復(fù)。

被廠商的威脅：“這就不是一個洞，但你敢公開的話就試試看！”

被廠商誤會：“你知道這樣是違規(guī)披露漏洞嗎？互聯(lián)網(wǎng)新聞頭條極速版我會報警的！”然后你真的就被邀“喝茶”了。

被廠商“占便宜”：“不好意思，今日起，這類漏洞的獎金減半！”

近幾年，白帽子私曝漏洞的事件頻發(fā)，在業(yè)界引起了不小的波瀾，在告知白帽子私曝漏洞的行為會有觸犯法律的風(fēng)險，呼吁白帽子加強(qiáng)法律意識之際，好像沒有人去深究白帽子選擇私曝漏洞的原因，也沒有人問過互聯(lián)網(wǎng)新聞頭條極速版他們，“為什么你要違規(guī)披露漏洞？”。

為了一探究竟，筆者采訪了四位來自不同團(tuán)隊、不同背景的白帽子，了解這個群體選擇私曝漏洞背后可能的原因。

答案似乎很一致：炫技、法律意識不強(qiáng)、由于誤會和廠商起了沖突所以一氣之下公布漏洞……這三點是造成白帽子私曝漏洞的常見原因，其中第三點很可能是最主要的原因。

“不承認(rèn)漏洞就算了，他們還威脅我！你敢信？”

被誤會的月神：2017年，我在提交了某個互聯(lián)網(wǎng)新聞平臺的漏洞后，立馬接到了廠商的電話，“你到底是誰，你是不是要攻擊我們，如果你敢亂來，我們就要報警了”，和對方解釋了半天，我才發(fā)現(xiàn)對方根本不是該廠商SRC的對接人，只是該平臺的業(yè)務(wù)人員，并且其對白帽子這一群體的性質(zhì)并不了解。

被“白嫖”的Balis0ng：遇到過一些廠商，對我提交的漏洞報告置之不理，過了幾天我再去檢測，發(fā)現(xiàn)漏洞已經(jīng)被修復(fù)了……我還遇到過向廠商連續(xù)提交了兩個漏洞，但廠商SRC對接人表示經(jīng)過開發(fā)人員鑒定，認(rèn)為這兩個漏洞是同一個漏洞的情況，我也是很無語。

被威脅的小七：2018年，在提交了某大廠的漏洞后，我接到了廠商的來電，他們不但不承認(rèn)這是一個漏洞，還威脅我，“如果將漏洞公開，你以后不好找工作吧？”，不承認(rèn)漏洞就算了，他們還威脅我！你敢信？

展開全文

被“教育”的遠(yuǎn)海：在一周內(nèi)提交了某教育平臺的6個系統(tǒng)漏洞后，我被使用該教育平臺的廠商運(yùn)維人員“教育”了一頓。應(yīng)該是一下子提交了太多的漏洞，耽誤運(yùn)維人員下班了，所以當(dāng)時廠商的運(yùn)維人員還特地通過ID找到我，把我說了一頓。

被誤會可以選擇解釋、被“教育”可以選擇體諒、可是當(dāng)被“白嫖”和威脅時，白帽子也只能選擇自認(rèn)倒霉嗎？，“是的，沒錯，遇到了也就只能自己吃了這個虧，也沒有任何辦法，但是好在大多數(shù)正規(guī)的廠商，不會這樣對我們”，Balis0ng說道。

接受采訪的這四位白帽子，在向廠商提交漏洞時，均吃過不少“啞巴”虧，即使在廠商不愿意承認(rèn)他們提交的漏洞時，他們也從來沒有想過要私曝漏洞，究其原因，是他們對正義那顆初心的堅守，也是因為他們深知，這種行為不但會將本來有理的他們推向無理的邊緣，他們還要承擔(dān)被追究法律責(zé)任的風(fēng)險。因此，要從根本上避免白帽子私曝漏洞事件的發(fā)生，除了法律法規(guī)的完善和普及，還需要各大廠商一同努力。

“隨著法規(guī)的完善和行業(yè)的成熟，我相信私曝漏洞的行為會越來越少”

《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定，開展網(wǎng)絡(luò)安全認(rèn)證、檢測、風(fēng)險評估等活動，向社會發(fā)布系統(tǒng)漏洞、計算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息，應(yīng)當(dāng)遵守國家有關(guān)規(guī)定。隨著《網(wǎng)絡(luò)安全漏洞管理規(guī)定（征求意見稿）》的出臺，有關(guān)網(wǎng)絡(luò)安全從業(yè)人員的相關(guān)行為規(guī)定更加明確和細(xì)化：第三方組織或者個人不得在網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者和網(wǎng)絡(luò)運(yùn)營者向社會或用戶發(fā)布漏洞修補(bǔ)或防范措施之前發(fā)布相關(guān)漏洞信息，不得發(fā)布和提供專門用于利用網(wǎng)絡(luò)產(chǎn)品、服務(wù)、系統(tǒng)漏洞從事危害網(wǎng)絡(luò)安全活動的方法、程序和工具。一般情況下，發(fā)現(xiàn)漏洞后，第三方組織或者個人可以將相關(guān)漏洞報送給CNNVD或CNVD，CNNVD或CNVD將會在5個工作日內(nèi)予以確認(rèn)回復(fù)，并通知廠商在90/10天內(nèi)修復(fù)，廠商采取漏洞修補(bǔ)或防范措施后再予以公開。

《網(wǎng)絡(luò)安全漏洞管理規(guī)定（征求意見稿）》的發(fā)布，是為了規(guī)范網(wǎng)絡(luò)安全漏洞報告和信息發(fā)布行為，同時督促相關(guān)廠商、第三方及運(yùn)營方及時應(yīng)對漏洞問題，這是在《中華人民共和國網(wǎng)絡(luò)安全法》的基礎(chǔ)上，法制體系進(jìn)一步完善的體現(xiàn)。

“隨著該規(guī)定的出臺，能有效減少白帽子因為炫技或者法律意識不強(qiáng)而私曝漏洞的行為。”

接受采訪的四位白帽子均認(rèn)為，《網(wǎng)絡(luò)安全漏洞管理規(guī)定（征求意見稿）》能起到規(guī)范行業(yè)行為和保障行業(yè)健康發(fā)展的作用。

“從大學(xué)的硬性教育作為突破口，是一個不錯的選擇。”

據(jù)遠(yuǎn)海透露，有關(guān)網(wǎng)絡(luò)安全法知識的課程，在他的學(xué)校目前是以選修網(wǎng)課的形式開展的，而那些沒有選修該課程的學(xué)生，可能對哪些行為會觸犯法律并不清晰，隨著我國網(wǎng)絡(luò)安全市場越發(fā)活躍以及相關(guān)法律法規(guī)陸續(xù)出臺，他認(rèn)為從大學(xué)的硬性教育作為突破口，是一個不錯的選擇。

“建立漏洞仲裁機(jī)制，有助于減少白帽子和廠商之間的‘扯皮’事件。”

隨著騰訊、百度、阿里、華為、深信服、滴滴等各大廠商安全應(yīng)急響應(yīng)中心的機(jī)制日漸完善，越來越多的白帽子更傾向于向廠商直接提交漏洞，一是因為廠商一般會優(yōu)先處理在自己平臺上提交的漏洞，二是因為直接向廠商提交漏洞，白帽子能獲得更多的回報。Balis0ng也談到：“現(xiàn)在各大廠商也越來越重視白帽子的貢獻(xiàn)，比如2020年，騰訊首次推出了百萬獎金池，單個漏洞額外獎勵最高可達(dá)20萬元互聯(lián)網(wǎng)新聞頭條極速版；深信服前不久升級了獎勵機(jī)制，單個漏洞稅后最高獎勵金額有50萬元；滴滴于2021年增加了年度獎勵規(guī)范中獲獎金的名額，年度排名第一的白帽子可獲得8萬元獎勵。”

“很多大廠還是很有誠意的，其實我們也感受的到，所以我們現(xiàn)在也比較傾向于向廠商直接提交漏洞”，Balis0ng說道。但是直接向廠商提交漏洞，白帽子有時候也會面臨一些問題，比如當(dāng)廠商駁回漏洞時，白帽子就只能在“守法等于吃虧”和“曝洞等于犯法”之間選擇嗎？

Balis0ng認(rèn)為，如果可以在業(yè)內(nèi)建立漏洞仲裁機(jī)制，當(dāng)白帽子與廠商因為漏洞鑒定出現(xiàn)爭執(zhí)時，第三方機(jī)構(gòu)可以介入仲裁，那將能有效減少白帽子因為廠商駁回漏洞而違法披露的行為。

在網(wǎng)絡(luò)世界，如果說惡意黑客是矛，利用系統(tǒng)或軟件的漏洞，非法入侵并獲取利益，那白帽子就是盾，他們選擇用技術(shù)來保護(hù)網(wǎng)絡(luò)安全，他們需要比惡意黑客跑的更快，他們發(fā)現(xiàn)的漏洞越多，網(wǎng)絡(luò)世界也就更安全，但相比惡意黑客的“張揚(yáng)”，他們的事跡卻鮮有人知，他們更像是隱世高手，低調(diào)地大戰(zhàn)四方。雖然有時候他們會被誤解，有時候他們的付出沒有得到應(yīng)有的回報，但是他們還是堅守了自己的初衷，做正義的事情。

接受采訪的四位白帽子均表示，隨著行業(yè)的發(fā)展和規(guī)范，目前白帽子群體遇到的一些困境都會得到有效的解決，同時他們也呼吁白帽子從保護(hù)自己的角度出發(fā)，依法披露漏洞，不要因為一時氣憤讓自己面臨觸犯法律的風(fēng)險并帶上“無理”的枷鎖。