本文作者史中，雷鋒網(wǎng)主筆。關(guān)注網(wǎng)絡(luò)安全，希望用簡(jiǎn)單地語(yǔ)言解釋科技的一切。

HackerOne是美國(guó)著名的漏洞眾測(cè)公司，它最早開(kāi)創(chuàng)了一種模式：匯集眾多的黑客，一起為企業(yè)找漏洞。

目前，全球致命的互聯(lián)網(wǎng)公司 Yahoo、Twitter、Adobe、Uber、facebook 等都會(huì)在 HackerOne 上發(fā)布漏洞獎(jiǎng)勵(lì)計(jì)劃，歡迎白帽子（致力于網(wǎng)絡(luò)安全的黑客）們測(cè)試自己的網(wǎng)絡(luò)安全。

HackerOne 的商業(yè)模式，在全世界得到了推廣，中國(guó)的眾多漏洞平臺(tái)也依靠這種方法吸引到了眾多喜愛(ài)網(wǎng)絡(luò)安全技術(shù)的白帽子，為各大企業(yè)尋找安全漏洞。

HackerOne 的 COO 王寧是一位旅美華人，她30年前于北大畢業(yè)，獲得李政道獎(jiǎng)學(xué)金，并且攻讀了博客里大學(xué)物理學(xué)博士。最近她來(lái)到中國(guó)參加漏洞平臺(tái)補(bǔ)天舉辦的白帽大會(huì)，雷鋒網(wǎng)宅客頻道采訪到了她，在她看來(lái)，漏洞平臺(tái)只要運(yùn)行在明確的規(guī)則之下，就可以獲得眾多公司和白帽子的信任，從而快速發(fā)展。

【HackerOne COO 王寧】

以下是雷鋒網(wǎng)宅客頻道采訪整理：

1、聽(tīng)說(shuō)在 HackerOne 發(fā)展的早期階段，發(fā)現(xiàn)的漏洞并不受到企業(yè)重視，有關(guān)這個(gè)情況有怎樣的故事可以分享？

Michiel Prins 和 Jobert Abma 是我們四個(gè)聯(lián)合創(chuàng)始人中的兩個(gè)，他們都是黑客。他們是發(fā)小，從童年時(shí)代就一直是最好的朋友，高中的時(shí)候他們開(kāi)始學(xué)習(xí)黑客技術(shù)。

在他們成立 HackerOne 之前，曾經(jīng)開(kāi)過(guò)一家安全咨詢公司。在運(yùn)營(yíng)這家咨詢公司時(shí)，他們產(chǎn)生一個(gè)想法：為什么不能找一找硅谷百?gòu)?qiáng)科技公司的安全漏洞呢？

他們覺(jué)得，如果可以向這些科技公司提交一些真正的漏洞，就可以從他們那里得到一些安全咨詢業(yè)務(wù)。但是，實(shí)際情況有點(diǎn)坑爹：

這100家公司中有 1/3 的公司根本不理他們，另外 1/3 的人回答說(shuō)“謝謝，我們不需要”，最后 1/3 的人回郵件說(shuō)想和他們聊聊，有的甚至聘請(qǐng)他們。這家想雇傭他們的公司就是 Fackbook。

現(xiàn)在 HackerOne 的 CTO，也是另外一個(gè)聯(lián)合創(chuàng)始人 Alex Rice，當(dāng)時(shí)是 Facebook 的產(chǎn)品安全團(tuán)隊(duì)負(fù)責(zé)人。Alex 邀請(qǐng) Michiel 和 Jobert 到 Facebook 見(jiàn)面聊聊，并聘請(qǐng)他們來(lái)做一個(gè)項(xiàng)目。這個(gè)經(jīng)驗(yàn)使 Michiel 和 Jobert 意識(shí)到：

建立一個(gè)平臺(tái)，使得白帽黑客更容易向企業(yè)公司提交安全漏洞，這件事是有價(jià)值的。

在 Faceboo k首次會(huì)議一年后，Alex 離開(kāi)了 Facebook，并與 Michiel 和 Jobert 合作創(chuàng)業(yè)，這就是HackerOne 成立的故事。

2、在中國(guó)存在這樣的情況：白帽子在對(duì)企業(yè)進(jìn)行漏洞檢測(cè)的時(shí)候，沒(méi)有獲得完整授權(quán)，從而產(chǎn)生法律問(wèn)題。在 HackerOne 的早期階段，遇到過(guò)這樣的問(wèn)題嗎？

由于我們的創(chuàng)始團(tuán)隊(duì)包括白帽子黑客（Michiel和Jobert）、安全專家（Alex）和有經(jīng)驗(yàn)的經(jīng)理人（Merijn Terheggen），他們?cè)诤茉绲碾A段就設(shè)定了我們的平臺(tái)規(guī)則：

只有公司授權(quán)之后，白帽子才能尋找并且提交漏洞。

從成立的早期，我們的團(tuán)隊(duì)就一直建議公司制定明確的漏洞獎(jiǎng)勵(lì)計(jì)劃，明確尋找漏洞的范圍，還有披露政策和將近支付方法。 所以，我們的平臺(tái)并沒(méi)有遇到黑客和公司產(chǎn)生糾紛的情況。

3、在漏洞價(jià)格方面，是否存在公司和白帽子對(duì)同一個(gè)漏洞的價(jià)值判斷非常不同的情況？遇到這種情況，作為平臺(tái)如何妥協(xié)做到各方都滿意？

黑客和客戶之間有時(shí)候會(huì)有一些誤解。

一般情況下，是因?yàn)槁┒垂膭?lì)計(jì)劃沒(méi)有寫得很明確，因此白帽黑客誤解了一些測(cè)試規(guī)則或賞金準(zhǔn)則或披露政策。

當(dāng)這種情況發(fā)生時(shí)，可以在我們平臺(tái)上申請(qǐng)“調(diào)解”。我們的安全專家和客戶經(jīng)理就會(huì)介入，詳細(xì)審查情況，并和黑客和公司的安全團(tuán)隊(duì)一起討論，尋找最佳解決方案。

例如，有一次黑客發(fā)現(xiàn)了一個(gè)嚴(yán)重漏洞，一般情況下這樣的漏洞可以獲得豐厚的獎(jiǎng)金。然而，客戶卻不愿意付出高額獎(jiǎng)金。這個(gè)黑客非常失望，于是讓我們介入?yún)f(xié)調(diào)。我們發(fā)現(xiàn)客戶不愿意付高額獎(jiǎng)金的原因是：這個(gè)漏洞屬于它的第三方營(yíng)銷網(wǎng)站，他們覺(jué)得這個(gè)網(wǎng)站不應(yīng)該在獎(jiǎng)勵(lì)范圍之內(nèi)。

但是，在企業(yè)一開(kāi)始提交給我們的漏洞獎(jiǎng)勵(lì)計(jì)劃中，并沒(méi)有明確說(shuō)明營(yíng)銷網(wǎng)站不符合獎(jiǎng)勵(lì)條件。所以我們建議企業(yè)修改計(jì)劃頁(yè)面，避免這種扯皮的事件發(fā)生。最后我們又建議企業(yè)給黑客另外支付一些小額獎(jiǎng)金。

這件事情就這樣相對(duì)友好地解決了。

4、對(duì)于 HackerOne 上很多政府和官方服務(wù)的漏洞，提交方式是否會(huì)和商業(yè)公司有所不同？對(duì)于挖漏洞的白帽子來(lái)說(shuō)有什么需要特別注意的地方？

在 HackerOne的平臺(tái)上，所有的漏洞獎(jiǎng)勵(lì)計(jì)劃都從前面說(shuō)到的漏洞獎(jiǎng)勵(lì)計(jì)劃頁(yè)面的起草開(kāi)始。這個(gè)頁(yè)面包括了所有詳細(xì)的規(guī)則。這一點(diǎn)上來(lái)說(shuō)，政府機(jī)構(gòu)和所有的公司是一樣的。

但是如果你為政府機(jī)構(gòu)或者大型公司尋找漏洞，建議你得仔細(xì)讀一下漏洞獎(jiǎng)勵(lì)計(jì)劃頁(yè)面，甚至你可能還得閱讀一下這些組織的法律部門的規(guī)定。這樣才能保證你在尋找漏洞的過(guò)程中能得到最好的效果。

舉例來(lái)說(shuō)，我們平臺(tái)上有一個(gè)項(xiàng)目：黑掉五角大樓。

這個(gè)項(xiàng)目只有美國(guó)公民才能才與，如果想獲得獎(jiǎng)金，黑客還要接受背景調(diào)查。

總之，無(wú)論是政府機(jī)構(gòu)還是大公司，清楚界定范圍和規(guī)則是非常重要的，只要黑客們清楚地明白了參與的規(guī)則，就不會(huì)出現(xiàn)問(wèn)題。

5、漏洞保密和漏洞公開(kāi)一直是一個(gè)矛盾，對(duì)于某些不重視自身漏洞的企業(yè)，也許最終公開(kāi)是最好的方法。是否存在企業(yè)對(duì)于 HackerOne 漏洞公開(kāi)政策不滿意的情況？這種情況如何被解決？

披露政策其實(shí)非常重要。在 HackerOne，我們面對(duì)漏洞披露時(shí)特別小心。

我們平臺(tái)上有一個(gè)披露指南，一般情況下，企業(yè)和黑客都按照這個(gè)來(lái)進(jìn)行。但每個(gè)獨(dú)立的獎(jiǎng)勵(lì)計(jì)劃都可以確定自己的披露政策，如果與我們的披露建議相沖突，會(huì)議客戶的披露政策為準(zhǔn)。我們很鼓勵(lì)黑客和公司披露已經(jīng)修復(fù)的漏洞，這樣其他人就可以避免在未來(lái)產(chǎn)生類似的漏洞。

但我們也理解，有些企業(yè)不想透露任何漏洞信息。

所以對(duì)于漏洞披露，最終的發(fā)言權(quán)還是在企業(yè)。無(wú)論公司是不是重視它們自身的安全，我們都絕不會(huì)私自披露別人的漏洞。

這一點(diǎn)在我們看來(lái)是非常重要的。

6、眾測(cè)的漏洞檢測(cè)模式越來(lái)越受到追捧，在 HackerOne 發(fā)展的過(guò)程中，有沒(méi)有傳統(tǒng)安全測(cè)試公司和你們產(chǎn)生過(guò)沖突，最終又是如何解決的呢？

我之前說(shuō)到，在建立HackerOne之前，我們的兩個(gè)聯(lián)合創(chuàng)始人有一家安全咨詢公司。他們的公司做了許多不同類型的咨詢項(xiàng)目。實(shí)際上，HackerOne 與傳統(tǒng)的安全測(cè)試服務(wù)并沒(méi)有太多的沖突。

相反，在 HackerOne 的早期，當(dāng)我們的客戶需要安全測(cè)試時(shí)，我們會(huì)把需求轉(zhuǎn)交給了一些傳統(tǒng)的安全咨詢公司。自2016年以來(lái)，我們自己也有了安全測(cè)試服務(wù)。當(dāng)然如果客戶喜歡自己尋找安全測(cè)試服務(wù)商，我們也沒(méi)有問(wèn)題，不會(huì)強(qiáng)求。

我們只是告訴我們的客戶，我們同樣提供全面的安全測(cè)試服務(wù)，這也有助于漏洞獎(jiǎng)勵(lì)計(jì)劃的實(shí)施。

7、現(xiàn)在 HackerOne 已經(jīng)和 Uber、Twitter 等大公司建立了良好的關(guān)系，請(qǐng)問(wèn) HackerOne 如何一步步建立起和大公司的信任關(guān)系？

HackerOne 由黑客和安全專家組成。 這確保了當(dāng)我們提供平臺(tái)服務(wù)的時(shí)候，能夠站在公司和黑客的平衡點(diǎn)。

這種中立的觀點(diǎn)使得我們獲得了社區(qū)中的黑客和客戶的信任。我們覺(jué)得黑客的成功可以客戶受益。所以我們精心設(shè)計(jì)了平臺(tái)上的許多功能和工作流程，并且經(jīng)常聽(tīng)取黑客和客戶的改進(jìn)建議，讓他們都可以信任我們。

例如我之前說(shuō)到的“調(diào)解”功能，就是我們的客戶企業(yè) Uber 和黑客一起貢獻(xiàn)的。

8、眾測(cè)模式是由 HackerOne 開(kāi)創(chuàng)的，這種模式有沒(méi)有被競(jìng)爭(zhēng)者迅速?gòu)?fù)制？ HackerOne 是如何應(yīng)對(duì)這種競(jìng)爭(zhēng)的？

Google，微軟和Facebook開(kāi)創(chuàng)了“漏洞賞金計(jì)劃”。 我們的聯(lián)合創(chuàng)始人受到這些計(jì)劃的啟發(fā)，發(fā)明了眾測(cè)平臺(tái)模式。

自從我們建立 HackerOne 以來(lái)，全球有很多公司復(fù)制了我們的平臺(tái)功能和業(yè)務(wù)模式，包括中國(guó)。

對(duì)于我們來(lái)說(shuō)，為了保持發(fā)展，就必須更快創(chuàng)新，保持領(lǐng)先。今天這個(gè)時(shí)代，靠防守是不可能守住自己的優(yōu)勢(shì)的。我很欣賞亞馬遜的 AWS，你看他們創(chuàng)新的速度有多快。正是依靠創(chuàng)新，他們才能一直領(lǐng)先對(duì)手，占據(jù)市場(chǎng)份額。

9、作為熟悉中國(guó)和美國(guó)文化的人，你認(rèn)為中美兩國(guó)在漏洞文化上有什么差異？

所有公司和組織對(duì)他們的安全漏洞都非常敏感，例如：誰(shuí)可以查看這些漏洞，如何公開(kāi)披露漏洞。 中國(guó)和美國(guó)的公司和組織在這個(gè)問(wèn)題上的敏感性非常相似。

我所看到的不同之處在于：

在美國(guó)，許多公司都很樂(lè)意在漏洞平臺(tái)上公布漏洞獎(jiǎng)勵(lì)計(jì)劃，他們覺(jué)得這對(duì)公司的美譽(yù)度來(lái)說(shuō)是一件好事。大多數(shù)美國(guó)公司不會(huì)單獨(dú)審查每個(gè)黑客的背景。

在中國(guó)，似乎大多數(shù)漏洞計(jì)劃都是“暗箱操作”的，每個(gè)黑客在參與漏洞計(jì)劃之前都需要被公司單獨(dú)審查背景。

所以在我看來(lái)，在中國(guó)運(yùn)行的漏洞獎(jiǎng)賞計(jì)劃似乎標(biāo)準(zhǔn)更嚴(yán)格。

10、聽(tīng)說(shuō)很多知名的色情網(wǎng)站都和 HackerOne 有合作，請(qǐng)問(wèn)和色情網(wǎng)站合作的過(guò)程中，有什么有趣的故事？例如 Pornhub ，他們對(duì)于安全有什么獨(dú)特的訴求嗎？

成人視頻行業(yè)是一個(gè)很大的行業(yè)，它們會(huì)產(chǎn)生巨大的互聯(lián)網(wǎng)流量。 在成人網(wǎng)站 Pornhub 宣布他們的漏洞獎(jiǎng)勵(lì)計(jì)劃的當(dāng)天，給我們的網(wǎng)站也帶來(lái)了巨大的流量，這是我們網(wǎng)站流量最高的一天！

但是他們的漏洞獎(jiǎng)勵(lì)計(jì)劃和我們平臺(tái)上的其他計(jì)劃一樣，沒(méi)有任何特殊要求。我覺(jué)得 Pornhub 在我們的平臺(tái)上的漏洞獎(jiǎng)勵(lì)計(jì)劃運(yùn)行很順利，我希望有更多像 Pornhub 一樣的企業(yè)來(lái) HackerOne 發(fā)布他們的漏洞計(jì)劃。

本文由雷鋒網(wǎng)宅客頻道首發(fā)，更多網(wǎng)絡(luò)安全內(nèi)容歡迎關(guān)注公眾號(hào)：宅客頻道。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。