作者：李揚(yáng)霞

編輯：林覺(jué)民

在互聯(lián)網(wǎng)世界里，有一群人手握“尚方寶劍”，他們發(fā)現(xiàn)漏洞、拆除隱患，修復(fù)著一座座賽博大廈的裂隙。他們普通又神秘，他們低調(diào)又熱血，他們不忍心看到這個(gè)世界沉淪，這群人正是“白帽子”。

3月28日下午，天空湛藍(lán)，陽(yáng)光明媚，微風(fēng)輕拂。從北新橋地鐵出來(lái)走幾步就到了人民美術(shù)文化園，這是慶祝補(bǔ)天漏洞響應(yīng)平臺(tái)十周年的活動(dòng)現(xiàn)場(chǎng)，從全國(guó)各地趕來(lái)的白帽子們穿戴工整，早早涌進(jìn)會(huì)場(chǎng)，期待著這次盛會(huì)的到來(lái)。他們中有見(jiàn)證補(bǔ)天庫(kù)帶計(jì)劃的“平臺(tái)初代白帽”，也有一直活躍在平臺(tái)的傳奇，還有代表未來(lái)的新生代。

他們?nèi)宄扇赫驹谝黄?，談笑風(fēng)生，交流著彼此的經(jīng)歷和技巧，分享著彼此的近況和想法。新白帽們的眼中充滿(mǎn)了好奇和激情，而老白帽們則滿(mǎn)懷著經(jīng)驗(yàn)和智慧。人群中看起來(lái)有不少很稚嫩的臉龐，上前攀談了一番，果然還是在讀的大三學(xué)生，但是在網(wǎng)絡(luò)安全的世界里他們沒(méi)有年齡之分，在互聯(lián)網(wǎng)世界很厲害的人，可能在現(xiàn)實(shí)中只是一個(gè)未成年的青少年。

在屏幕背后，他們都是一個(gè)個(gè)活躍在互聯(lián)網(wǎng)江湖里的“ID號(hào)”，彼此之間大多只是通過(guò)網(wǎng)絡(luò)進(jìn)行交流，這一天他們從互聯(lián)網(wǎng)世界里回歸現(xiàn)實(shí)，相聚在一起。活動(dòng)現(xiàn)場(chǎng)凳子加了一波又一波，還是抵不住人潮洶涌。

這是補(bǔ)天漏洞響應(yīng)平臺(tái)成立十周年，也是疫情之后，一次難得的讓白帽子們走出家門(mén)，盡情交流釋放熱情的機(jī)會(huì)。

一、“庫(kù)帶”到“補(bǔ)天”

2013年，補(bǔ)天漏洞響應(yīng)平臺(tái)成立，這里就成了白帽子們聚集的戰(zhàn)場(chǎng)之一，他們?cè)谶@里向企業(yè)提交漏洞，守護(hù)互聯(lián)網(wǎng)的安全。

“‘補(bǔ)天’原名叫‘庫(kù)帶計(jì)劃’，大意是勒緊褲腰帶，保護(hù)重要部位?！弊鳛楝F(xiàn)階段補(bǔ)天平臺(tái)的負(fù)責(zé)人，田朋半開(kāi)玩笑，因?yàn)槊謱?shí)在有點(diǎn)庸俗遂改成“補(bǔ)天”，這才聽(tīng)起來(lái)高大上了點(diǎn)。

雷峰網(wǎng)見(jiàn)到這位代號(hào)“動(dòng)物園喝咖啡第一名”的人物時(shí)，他首先第一句話(huà)就是“喝什么？”“咖啡？”

忍不住點(diǎn)點(diǎn)頭......果然互聯(lián)網(wǎng)人拼的就是誰(shuí)更能“熬”。這個(gè)代號(hào)的由來(lái)是因?yàn)槠姘残虐踩行牡奈恢迷凇皠?dòng)物園”附近，因此而得名。

他說(shuō)自己熬過(guò)最長(zhǎng)的夜是三天三夜，很多時(shí)候晚上才是真正的工作時(shí)間，一些安全業(yè)務(wù)都只能晚上進(jìn)行停機(jī)更新，不能在白天影響正常生產(chǎn)業(yè)務(wù)。

天有隙，媧補(bǔ)天；軟件有漏洞，補(bǔ)天來(lái)補(bǔ)救。“補(bǔ)天”成立的時(shí)候，國(guó)內(nèi)外各種數(shù)據(jù)庫(kù)泄漏嚴(yán)重，有時(shí)是由于企業(yè)內(nèi)部的安全漏洞或疏忽，有時(shí)是由于黑客的惡意攻擊。當(dāng)時(shí)還沒(méi)有現(xiàn)在各大SRC（漏洞響應(yīng)平臺(tái)），甚至鮮有白帽子的說(shuō)法，所謂的網(wǎng)絡(luò)安全行業(yè)就是一片蠻荒之地。

最開(kāi)始國(guó)內(nèi)的漏洞平臺(tái)只有烏云一家，但是烏云模式飽受爭(zhēng)議，如果官方來(lái)認(rèn)領(lǐng)就有幾個(gè)月的修復(fù)和公開(kāi)時(shí)間的緩沖，不認(rèn)領(lǐng)就立馬公開(kāi)，所謂“亂棍打死老師傅”，這讓企業(yè)很頭疼，企業(yè)對(duì)白帽子們是又恨又怕?！把a(bǔ)天”采取完全不同的方式，堅(jiān)守“一不炒作，二不要挾，三不全網(wǎng)公開(kāi)”的三不原則，并開(kāi)創(chuàng)性的用現(xiàn)金懸賞的方式征集開(kāi)源建站系統(tǒng)漏洞，號(hào)召白帽子們幫助廠商發(fā)現(xiàn)并修復(fù)網(wǎng)站漏洞；承諾永不公開(kāi)漏洞，漏洞無(wú)償提供給官方，不處理再同步給監(jiān)管單位。

“補(bǔ)天”的成立一方面肅清了行業(yè)風(fēng)氣，緩和了廠商和白帽子們之間劍拔弩張的關(guān)系；另一方面推動(dòng)了國(guó)內(nèi)互聯(lián)網(wǎng)安全的健康發(fā)展。

田朋向雷峰網(wǎng)(公眾號(hào)：雷峰網(wǎng))描述，Carry_your就是前幾批在“補(bǔ)天”平臺(tái)注冊(cè)的白帽子之一，他一直穩(wěn)居補(bǔ)天平臺(tái)總排行榜top3，廠商對(duì)他的獎(jiǎng)勵(lì)將近百萬(wàn)，成為眾多白帽子心中的榜樣。在這之前，他已經(jīng)深挖了三年的漏洞。最早Carry_your挖掘一個(gè)漏洞大約價(jià)值80塊錢(qián)，比現(xiàn)在許多挖洞“菜鳥(niǎo)”還要低，當(dāng)時(shí)他一年在補(bǔ)天平臺(tái)挖洞的收入大概是兩萬(wàn)元左右。

好在他堅(jiān)持了下來(lái)，在2014年向“補(bǔ)天”提交了包括清華、北大、復(fù)旦等200多個(gè)高校的漏洞后，拿到了進(jìn)入補(bǔ)天當(dāng)實(shí)習(xí)生的門(mén)票，后來(lái)正式成為了漏洞審核員。雖然呆了兩年之后，他并沒(méi)有在補(bǔ)天繼續(xù)工作，但是這些年還一直活躍在補(bǔ)天平臺(tái)，仍然堅(jiān)持不懈提交漏洞，甚至在補(bǔ)天白帽大會(huì)拿到前十的榮譽(yù)。

在補(bǔ)天運(yùn)營(yíng)小姐姐建立的一個(gè)“補(bǔ)天十歲啦”的群聊中，Carry展示了下面這張能夠證明他輝煌戰(zhàn)績(jī)的榮譽(yù)。

田朋評(píng)價(jià)Carry_your：“生產(chǎn)力非常強(qiáng)悍?！币?yàn)楹芏喟酌弊訌膶W(xué)校走出來(lái)，工作之后就越來(lái)越忙，沒(méi)有更多精力鉆研技術(shù)了，或者是先放一放技術(shù)，去搞管理、搞業(yè)務(wù)。但是Carry_your相當(dāng)于是兩手抓，兩手都要硬，一直都沒(méi)有放。

網(wǎng)絡(luò)安全本身就是一個(gè)小圈子，在過(guò)去網(wǎng)安人才的培養(yǎng)大多是自學(xué)，要么就是“傳幫帶”，師傅帶徒弟，但是通過(guò)這樣的方式培養(yǎng)出來(lái)的人才數(shù)量有限。

而與許多組織團(tuán)體不同，“白帽子”是個(gè)更為松散的群體。“隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)安全的進(jìn)步是非?？斓模绕涔シ乐R(shí)的更新速度是非?？斓?。你不能用去年的方法打敗今年的你自己，因此需要不斷而且快速的學(xué)習(xí)。對(duì)于剛剛?cè)胄械陌酌弊佣詡€(gè)人的力量是有限的，因此需要更多的人幫助，能夠融入一個(gè)志同道合的社群，大家共同研究、學(xué)習(xí)，才能快速的成長(zhǎng)和發(fā)展。”田朋如是說(shuō)。

補(bǔ)天為白帽子們搭建了一個(gè)可以交流分享的平臺(tái)。成立10年來(lái)，補(bǔ)天已經(jīng)成為全國(guó)影響力最大的漏洞響應(yīng)平臺(tái)，同時(shí)也是最活躍的網(wǎng)絡(luò)安全從業(yè)者交流平臺(tái)之一。截止2023年3月，平臺(tái)注冊(cè)白帽子已達(dá)108000余名，累計(jì)為33萬(wàn)多家企業(yè)報(bào)告的漏洞超過(guò)112萬(wàn)個(gè)。

在這次十周年的活動(dòng)中，新老白帽齊聚，有技術(shù)分享，也有走心成長(zhǎng)分享，互動(dòng)游戲等環(huán)節(jié)，這是一個(gè)交流最新安全技術(shù)的分享會(huì)，也是一個(gè)白帽子們聯(lián)絡(luò)感情，形成良好社區(qū)生態(tài)和氛圍的盛會(huì)。在社區(qū)中，白帽子們不僅能夠獲得大咖的技術(shù)指導(dǎo)，還能夠結(jié)交更多志同道合的伙伴，為自己的職業(yè)發(fā)展和成長(zhǎng)打下堅(jiān)實(shí)的基礎(chǔ)。

從以前只有幾個(gè)人的“庫(kù)帶計(jì)劃”到如今兵強(qiáng)馬壯的補(bǔ)天平臺(tái)，這就像是一個(gè)勇士從低級(jí)別的小怪物升級(jí)到擊敗強(qiáng)大的Boss。他不斷學(xué)習(xí)新技能，獲得更強(qiáng)大的裝備，與其他勇士結(jié)盟，一起應(yīng)對(duì)更大的挑戰(zhàn)。最終，取得了成功。

二、做“難而正確的事情”

“補(bǔ)天”的成長(zhǎng)之路跟隨著整個(gè)網(wǎng)絡(luò)安全行業(yè)發(fā)展而前進(jìn)，而唯一不變的核心只有三件事：維護(hù)企業(yè)網(wǎng)絡(luò)安全、降低漏洞被利用的風(fēng)險(xiǎn)、培養(yǎng)網(wǎng)絡(luò)安全人才。

2013年到2016年是補(bǔ)天的初創(chuàng)階段也是整個(gè)網(wǎng)絡(luò)安全的初始階段。彼時(shí)移動(dòng)互聯(lián)網(wǎng)迅速崛起，移動(dòng)互聯(lián)網(wǎng)網(wǎng)民從2億人迅速增長(zhǎng)到10億人，大量的用戶(hù)信息被接入了移動(dòng)互聯(lián)網(wǎng)，用戶(hù)呈指數(shù)倍增長(zhǎng)的背后數(shù)據(jù)泄漏的風(fēng)險(xiǎn)也成倍增長(zhǎng)。惡意攻擊者可以通過(guò)漏洞，竊取用戶(hù)信息、篡改頁(yè)面內(nèi)容，甚至癱瘓整個(gè)網(wǎng)站的服務(wù)。

而正在為移動(dòng)互聯(lián)網(wǎng)帶來(lái)便利而狂歡人們，很少關(guān)注到這背后的網(wǎng)絡(luò)安全問(wèn)題。當(dāng)時(shí)的網(wǎng)絡(luò)安全行業(yè)處于野蠻生長(zhǎng)階段，關(guān)于漏洞的問(wèn)題也沒(méi)有標(biāo)準(zhǔn)和規(guī)范可以參考。因此基本上是 Copy to China，學(xué)著美國(guó)的方式去公開(kāi)披露漏洞，但是國(guó)家與國(guó)家之間的實(shí)際情況不同，在互聯(lián)網(wǎng)上公開(kāi)披露漏洞的同時(shí)，也會(huì)讓不法分子掌握更多信息，不管是互聯(lián)網(wǎng)公司、科技公司抑或是一些關(guān)鍵技術(shù)設(shè)施單位，都會(huì)面臨巨大的安全風(fēng)險(xiǎn)。

補(bǔ)天漏洞響應(yīng)平臺(tái)也在這一環(huán)境下摸索著成長(zhǎng)，只能說(shuō)不求有功但求無(wú)過(guò)。

2015年前后，隨著國(guó)家頂層規(guī)劃落地，監(jiān)管加強(qiáng)，互聯(lián)網(wǎng)安全的蠻荒時(shí)代很快就過(guò)去。例如2014年成立中央網(wǎng)信辦；2016年信息安全這一學(xué)科從選修變成了一級(jí)學(xué)科；2017年《網(wǎng)絡(luò)安全法》施行......白帽子們炫技的時(shí)代過(guò)去了，大家需要在法律的邊界內(nèi)進(jìn)行工作，以合法合規(guī)的方式和手段守護(hù)網(wǎng)絡(luò)世界的安全。這段時(shí)間是這一行業(yè)成長(zhǎng)最快速的一段時(shí)間，也是補(bǔ)天平臺(tái)飛速發(fā)展的一段時(shí)間。

在這期間，補(bǔ)天陸續(xù)推出了補(bǔ)天公益 SRC （白帽子隨機(jī)發(fā)現(xiàn)漏洞，平臺(tái)發(fā)布漏洞招領(lǐng)，企業(yè)免費(fèi)認(rèn)領(lǐng)漏洞）、企業(yè)專(zhuān)屬 SRC（企業(yè)自助發(fā)布漏洞懸賞，白帽子有償提交、平臺(tái)協(xié)助審核漏洞）、眾測(cè)服務(wù)（面向有一定行業(yè)地位的大中企業(yè)、機(jī)構(gòu)等，定向服務(wù)客戶(hù)、定向邀請(qǐng)白帽子、眾測(cè)過(guò)程監(jiān)管、提供專(zhuān)業(yè)修復(fù)意見(jiàn)）等。并通過(guò)奇安信攻防社區(qū)、補(bǔ)天白帽大會(huì)、“補(bǔ)天杯”破解大賽、補(bǔ)天城市沙龍、補(bǔ)天校園行，搭建安全從業(yè)者開(kāi)放、分享、成長(zhǎng)的平臺(tái)。

在補(bǔ)天漏洞平臺(tái)，對(duì)于有安全需求的企業(yè)，可以隨時(shí)入駐補(bǔ)天。補(bǔ)天一方面對(duì)接有需求的企業(yè)，另一方面對(duì)接民間的白帽子，在一定程度上屬于公益性質(zhì)的眾包平臺(tái)。補(bǔ)天平臺(tái)的收入來(lái)源是眾測(cè)，為大中型企業(yè)提供定制化的漏洞檢測(cè)服務(wù)，但常常入不敷出，因?yàn)楸晨科姘残?，在補(bǔ)天公益 SRC這個(gè)項(xiàng)目上也會(huì)獲得一些資金支持。

在公益 SRC項(xiàng)目中，白帽子們隨機(jī)發(fā)現(xiàn)的漏洞，補(bǔ)天會(huì)鼓勵(lì)提交給平臺(tái)，平臺(tái)自己以送周邊禮品或積分的方式回饋白帽子，鼓勵(lì)白帽做了正確的選擇；另外一部分是幫助企業(yè)在平臺(tái)建立專(zhuān)屬 SRC，企業(yè)發(fā)布懸賞，目前已經(jīng)有近100家企業(yè)SRC托管在補(bǔ)天平臺(tái)上。

“雖然奇安信是一家商業(yè)公司，但是在補(bǔ)天平臺(tái)運(yùn)營(yíng)這件事情上，老板（齊向東）最主要考慮的事情是動(dòng)員一切可以動(dòng)員的力量，減少漏洞泄露的風(fēng)險(xiǎn)，同時(shí)為我們國(guó)家網(wǎng)絡(luò)安全人才培養(yǎng)添磚加瓦?！碧锱笳f(shuō)，即便廠商會(huì)給我們一些服務(wù)費(fèi)，我們也全部拿去給白帽子們發(fā)獎(jiǎng)金，或補(bǔ)到一些線(xiàn)下的公益活動(dòng)中。

對(duì)于當(dāng)時(shí)正處于極速發(fā)展期的公司來(lái)說(shuō)并不十分容易，但無(wú)比正確。

2016年，補(bǔ)天把傳統(tǒng)的滲透測(cè)試服務(wù)進(jìn)行創(chuàng)新，升級(jí)成了“眾測(cè)”的服務(wù)模式，這種模式相對(duì)來(lái)說(shuō)又?jǐn)U大了白帽子們施展身手的場(chǎng)地。傳統(tǒng)的滲透測(cè)試服務(wù)模式，就是企業(yè)雇傭兩三個(gè)人到現(xiàn)場(chǎng)進(jìn)行漏洞檢測(cè)，按天算錢(qián)，但是實(shí)際檢出的效果以及效率并沒(méi)有那么好。眾測(cè)模式是模擬攻擊者的視角，以大兵團(tuán)作戰(zhàn)的方式，從補(bǔ)天平臺(tái)10萬(wàn)個(gè)白帽子中召集200個(gè)人，集眾人之力，通過(guò)競(jìng)爭(zhēng)式的漏洞挖掘達(dá)到目的。而眾測(cè)模式，講究的就是一個(gè)“先到先得”，一般只會(huì)獎(jiǎng)勵(lì)第一個(gè)挖出漏洞白帽子。這種拼手速的模式其實(shí)對(duì)于白帽子來(lái)說(shuō)是更加平等和友好的。

據(jù)田朋介紹，只要進(jìn)入平臺(tái)前200名的白帽子，出去面試找工作都會(huì)容易很多，因?yàn)檫@是實(shí)力的證明，在真實(shí)的攻防環(huán)境中展現(xiàn)出來(lái)的實(shí)力。

2013年-2023年，十年來(lái)在補(bǔ)天平臺(tái)獎(jiǎng)勵(lì)計(jì)劃數(shù)量增加 10 多倍、補(bǔ)天發(fā)放獎(jiǎng)金增長(zhǎng)近 200 倍、白帽提交漏洞數(shù)量增長(zhǎng) 700 多倍、白帽子數(shù)量增長(zhǎng) 800 多倍。

當(dāng)問(wèn)及，十年來(lái)補(bǔ)天做對(duì)了哪些事情，田朋告訴雷峰網(wǎng)：一來(lái)是獨(dú)家開(kāi)創(chuàng)了事件性漏洞報(bào)送模式，這跟海外報(bào)送漏洞的模式不同，例如有些漏洞因?yàn)橹淮嬖谟谝粋€(gè)具體的網(wǎng)站或者信息系統(tǒng)，這一點(diǎn)中國(guó)當(dāng)時(shí)遇到的網(wǎng)絡(luò)環(huán)境、監(jiān)管體系、文化背景跟是海外不一樣的；二來(lái)是推廣SRC，把白帽黑客的力量引入到企業(yè)安全檢測(cè)服務(wù)里，拓寬了SRC行業(yè)；再者就是安全社區(qū)的建設(shè)，通過(guò)一系列公益活動(dòng)讓白帽子們能夠有平臺(tái)交流學(xué)習(xí)。

其實(shí)，總結(jié)看來(lái)，十年來(lái)補(bǔ)天干的一件事，就是為白帽子提供了一個(gè)將發(fā)現(xiàn)的漏洞報(bào)告給企業(yè)的途徑/平臺(tái)，這有助于企業(yè)及時(shí)發(fā)現(xiàn)和修復(fù)漏洞，提高系統(tǒng)安全性。

田朋認(rèn)為，之所以做這件事情把白帽子和企業(yè)拉在一起，是因?yàn)殡p方有認(rèn)知偏差：企業(yè)對(duì)白帽子的猜想是會(huì)不會(huì)不守規(guī)矩干壞事，而不是第一時(shí)間關(guān)注安全漏洞暴露的風(fēng)險(xiǎn)；而白帽子會(huì)覺(jué)得企業(yè)不認(rèn)可我的價(jià)值，我肝了一晚上挖出一個(gè)漏洞被企業(yè)找借口忽略。補(bǔ)天這個(gè)平臺(tái)就是為了幫助大家拉齊共識(shí)，通過(guò)設(shè)立獎(jiǎng)勵(lì)計(jì)劃，給予安全研究者一定的獎(jiǎng)金和聲譽(yù)，以激勵(lì)他們持續(xù)關(guān)注網(wǎng)絡(luò)安全并報(bào)告漏洞。即使不賺錢(qián)且很困難也要堅(jiān)持做下去，這是一件有意義的事情。

三、保持熱情、責(zé)任、自由

為什么補(bǔ)天漏洞平臺(tái)能聚集這么多的白帽子？白帽子一方面看中平臺(tái)對(duì)漏洞認(rèn)可；另一方面看中平臺(tái)對(duì)個(gè)人價(jià)值的認(rèn)可。

補(bǔ)天漏洞響應(yīng)平臺(tái)從成立到現(xiàn)在，一直是漏洞賞金最大方的平臺(tái)，目前補(bǔ)天平臺(tái)累計(jì)發(fā)放漏洞獎(jiǎng)金過(guò)億元。補(bǔ)天漏洞響應(yīng)平臺(tái)最讓白帽子們有安全感的一點(diǎn)是不對(duì)外公開(kāi)披露任何漏洞，這種保護(hù)是雙向的，對(duì)于企業(yè)和白帽子們是一種很好的機(jī)制，既守護(hù)了廠商的系統(tǒng)安全，也讓白帽子們減少了和企業(yè)產(chǎn)生摩擦的風(fēng)險(xiǎn)。目前“補(bǔ)天”平臺(tái)要求企業(yè)三天內(nèi)確認(rèn)完漏洞，30天內(nèi)給出修復(fù)補(bǔ)丁，之后根據(jù)企業(yè)自己業(yè)務(wù)節(jié)奏和實(shí)際情況進(jìn)行維護(hù)打補(bǔ)丁。

很多白帽子因?yàn)檎J(rèn)可補(bǔ)天的理念而加入進(jìn)來(lái)。

其實(shí)白帽子們挖漏洞提交給廠商或者漏洞平臺(tái)賺錢(qián)遠(yuǎn)比黑產(chǎn)賺錢(qián)要難的多也要慢的多。安全行業(yè)的人熟知，挖到一個(gè)漏洞在正常的廠商和平臺(tái)這里能換來(lái)的價(jià)值最多也就是幾萬(wàn)塊錢(qián)，如果賣(mài)給黑灰產(chǎn)很可能拿到10倍甚至100倍之多的報(bào)酬。

白帽子無(wú)時(shí)無(wú)刻不在面臨著利益超出百倍的“誘惑”。相對(duì)黑產(chǎn)而言，白帽子是一群弱勢(shì)群體。“白帽子”的行為必須合法，無(wú)論你的動(dòng)機(jī)好壞，行為不合法，那就不是“白帽子”。他們只能種種規(guī)則下，盡自己所能守護(hù)網(wǎng)絡(luò)安全。

黑客就像古代的劍客一樣，懂得武林絕學(xué)，手中握著上古神劍，而使用這把劍，成為忠肝義膽、鋤強(qiáng)扶弱的俠客才是白帽子們內(nèi)心的選擇。他們一腔熱血、一心向善，身處黑暗卻做著守護(hù)光明的事情，他們是網(wǎng)絡(luò)世界白與黑的交集，他們希望利用自己掌握各種“秘密武器”，幫助企業(yè)找到漏洞修復(fù)問(wèn)題，對(duì)抗黑客，他們是真正的網(wǎng)絡(luò)世界守衛(wèi)者。

這個(gè)群體是可信任的，他們只是像你我一樣的普通人，是大學(xué)生、中學(xué)生、從事網(wǎng)絡(luò)安全的相關(guān)人員，抑或是一個(gè)開(kāi)民宿的老板，只是無(wú)意間發(fā)現(xiàn)了平臺(tái)系統(tǒng)的漏洞變成為了一名白帽子。他們的背景非常簡(jiǎn)單、干凈，但是企業(yè)和社會(huì)難免對(duì)這個(gè)群體還是帶有一些偏見(jiàn)。

2021年12月16日“冬奧網(wǎng)絡(luò)安全衛(wèi)士”招募啟動(dòng)，這對(duì)于所有白帽子群體來(lái)說(shuō)是一次巨大的認(rèn)可。補(bǔ)天漏洞響應(yīng)平臺(tái)開(kāi)創(chuàng)了國(guó)內(nèi)首次公開(kāi)招募白帽子為奧運(yùn)保駕護(hù)航的先例。

在這次招募中白帽子主要是協(xié)助網(wǎng)絡(luò)安全信息系統(tǒng)排查短板、挖掘相關(guān)漏洞以及收集網(wǎng)絡(luò)安全情報(bào)信息等工作，經(jīng)過(guò)層層選拔的冬奧網(wǎng)絡(luò)安全衛(wèi)士24小時(shí)在線(xiàn)，發(fā)起超過(guò)2000萬(wàn)次測(cè)試請(qǐng)求，測(cè)試總時(shí)長(zhǎng)超過(guò)1萬(wàn)小時(shí)，成功發(fā)現(xiàn)了大量有效系統(tǒng)漏洞和冬奧相關(guān)威脅情報(bào)，為保障冬奧會(huì)網(wǎng)絡(luò)安全發(fā)揮了巨大作用。

田朋認(rèn)為，白帽子們有一個(gè)很典型的優(yōu)點(diǎn)，他們活躍在互聯(lián)網(wǎng)上，具備高超的攻擊技術(shù)，很了解攻擊者。補(bǔ)天就想集全國(guó)乃至全球白帽之力，為保障冬奧會(huì)的網(wǎng)絡(luò)安全做貢獻(xiàn)。

對(duì)此，中央網(wǎng)信辦冬奧會(huì)網(wǎng)絡(luò)安全專(zhuān)家研判組組長(zhǎng)、中國(guó)工程院院士方濱興給予了高度肯定——“白帽子作為冬奧網(wǎng)絡(luò)安全衛(wèi)士的突出表現(xiàn)，也證明了白帽子群體是可信任的、可管理的，同時(shí)更是有能力的、有水平的?！?/p>

他們是幕后英雄。田朋說(shuō)：“希望白帽子們能一直堅(jiān)守自己的內(nèi)心，保持熱愛(ài)、責(zé)任、自由?！?/p>

四、理想主義的“補(bǔ)天英雄”

對(duì)于一個(gè)漏洞平臺(tái)或者白帽子社區(qū)，到底能為白帽子提供什么？獎(jiǎng)金、學(xué)習(xí)成長(zhǎng)的環(huán)境、道德的引導(dǎo)、未來(lái)的職業(yè)規(guī)劃、使命感的形成等。以上這些能力都重要，但更重要的是實(shí)戰(zhàn)能力的培養(yǎng)。

網(wǎng)絡(luò)安全實(shí)戰(zhàn)化時(shí)代，高水平的網(wǎng)絡(luò)安全人才已經(jīng)成為稀缺資源、搶手資源。在網(wǎng)絡(luò)安全行業(yè)有一句話(huà)“安全講百遍不如打一遍”，實(shí)戰(zhàn)化能力只有在網(wǎng)絡(luò)對(duì)抗中才能提升。

一個(gè)優(yōu)秀的白帽子，可能從他的初中、高中時(shí)期就對(duì)網(wǎng)絡(luò)安全產(chǎn)生了一定的興趣，因?yàn)檫@是一個(gè)綜合能力，要了解計(jì)算機(jī)基礎(chǔ)網(wǎng)絡(luò)安全架構(gòu)，自己不錨定學(xué)習(xí)3-5年，根本不可能學(xué)出來(lái)。田朋說(shuō)：“由于自學(xué)網(wǎng)絡(luò)安全或者挖漏洞是很困難的，一個(gè)深度測(cè)試人才或者攻防人才成長(zhǎng)最快的一條路就是大家一起交流學(xué)習(xí)，我們盡可能把行業(yè)里邊合作伙伴聚集起來(lái)，給大家提供更多的福利和便利，讓大家能在這條路上堅(jiān)持下來(lái)。”

2021年有一個(gè)初中生的小白帽，為了參加補(bǔ)天的線(xiàn)下白帽大會(huì)，跟他父母“打保票”，一定好好學(xué)習(xí)考上衡水中學(xué)。如今他已經(jīng)成為了衡水中學(xué)的一名高中生。

像這樣的例子還有很多，這些小白帽們還沒(méi)有對(duì)世界形成完整全面的認(rèn)識(shí)，很容易走偏。補(bǔ)天又是怎么引導(dǎo)？為了不讓白帽子變黑帽子補(bǔ)天又做了哪些事情？

對(duì)于初高中生，他們正是樹(shù)立世界觀的時(shí)候，一旦發(fā)現(xiàn)漏洞，很容易出現(xiàn)炫技的心理，對(duì)漏洞進(jìn)行公開(kāi)。補(bǔ)天這個(gè)時(shí)候鼓勵(lì)他們把漏洞提交過(guò)來(lái)，通過(guò)平臺(tái)給他們提供一些積分和周邊禮物。只要接觸到這些用戶(hù)，就一定會(huì)給他們做一些安全測(cè)試規(guī)范、法律法規(guī)等科普，這些事情是完全公益的。

在培養(yǎng)實(shí)戰(zhàn)性人才方面，補(bǔ)天還通過(guò)提供真實(shí)的訓(xùn)練環(huán)境，開(kāi)放實(shí)戰(zhàn)工具箱和資源，定制專(zhuān)屬課程、頂級(jí)白帽黑客進(jìn)行技術(shù)教學(xué)。在田朋看來(lái)，能為白帽子們提供實(shí)戰(zhàn)化的成長(zhǎng)平臺(tái)，主要由于奇安信有很多客戶(hù)，如果這些客戶(hù)有眾測(cè)的需求，平臺(tái)的白帽子們就能得到一次實(shí)戰(zhàn)演練的機(jī)會(huì)。

對(duì)于入選眾測(cè)項(xiàng)目的200名白帽子，補(bǔ)天一方面會(huì)考驗(yàn)其技術(shù)能力；另一方面做好背景調(diào)查和社會(huì)關(guān)系認(rèn)證，防止有真正的黑客混進(jìn)來(lái)。

為了幫助實(shí)戰(zhàn)化白帽更好地成長(zhǎng)和發(fā)展，讓白帽子們了解自己的實(shí)戰(zhàn)能力，補(bǔ)天平臺(tái)還于2021年發(fā)布了首份“實(shí)戰(zhàn)化白帽子能力圖譜”。圖譜將白帽子的實(shí)戰(zhàn)化能力從低到高依次分為基礎(chǔ)能力、進(jìn)階能力和高階能力，是國(guó)內(nèi)首個(gè)讓白帽子們有標(biāo)準(zhǔn)的能力參考體系的圖譜。在十周年活動(dòng)現(xiàn)場(chǎng)，補(bǔ)天又聯(lián)合聯(lián)合愛(ài)奇藝安全應(yīng)急響應(yīng)中心、度小滿(mǎn)安全應(yīng)急響應(yīng)中心、華為安全應(yīng)急響應(yīng)中心、快手安全應(yīng)急響應(yīng)中心、美團(tuán)安全應(yīng)急響應(yīng)中心、陌陌安全、OPPO安全應(yīng)急響應(yīng)中心、奇安信集團(tuán)安全應(yīng)急響應(yīng)中心、賽博昆侖、騰訊安全應(yīng)急響應(yīng)中心、網(wǎng)易安全中心、微博安全、小米安全中心、字節(jié)跳動(dòng)安全響應(yīng)中心、BOSS直聘安全應(yīng)急響應(yīng)中心、斗魚(yú)安全應(yīng)急響應(yīng)中心、貨拉拉安全應(yīng)急響應(yīng)中心、平安安全應(yīng)急響應(yīng)中心等18家聯(lián)合發(fā)布《中國(guó)實(shí)戰(zhàn)化網(wǎng)絡(luò)安全人才能力白皮書(shū)》起草，這對(duì)于拓寬報(bào)告的應(yīng)用范圍、為網(wǎng)絡(luò)安全人才發(fā)展及能力培養(yǎng)提供重要參考和依據(jù)發(fā)揮了重要作用。

田朋表示：“以前我們自己來(lái)寫(xiě)，肯定會(huì)有安全公司的局限性，今年把互聯(lián)網(wǎng)公司拉進(jìn)來(lái)以后，整個(gè)報(bào)告的知識(shí)面和受眾范圍都會(huì)有所拓寬。加上互聯(lián)網(wǎng)平臺(tái)會(huì)更加開(kāi)放，也會(huì)提供更多的實(shí)戰(zhàn)環(huán)境?！?/p>

此外補(bǔ)天還發(fā)布全新改版上線(xiàn)專(zhuān)屬SRC產(chǎn)品，推出針對(duì)個(gè)人、團(tuán)隊(duì)的專(zhuān)項(xiàng)獎(jiǎng)勵(lì)活動(dòng)，激勵(lì)個(gè)人、團(tuán)隊(duì)白帽不斷深入研究、成長(zhǎng)，鼓勵(lì)白帽人員通過(guò)實(shí)戰(zhàn)和交流提高自己的技術(shù)和素質(zhì)，推動(dòng)網(wǎng)絡(luò)安全行業(yè)的發(fā)展和進(jìn)步。

當(dāng)前，培養(yǎng)白帽子等漏洞挖掘人才、做好漏洞資源管理，已成為各國(guó)的共同選擇和發(fā)力方向。未來(lái)漏洞響應(yīng)平臺(tái)的競(jìng)爭(zhēng)將是白帽子人才之間的競(jìng)爭(zhēng)，平臺(tái)不僅要吸引留住老的白帽子還要培養(yǎng)新的生力軍。

有專(zhuān)家曾在一篇文章中說(shuō)到：“平臺(tái)不僅要傳遞正確價(jià)值導(dǎo)向，還要能夠代表群體發(fā)聲，只有具有使命感和責(zé)任感的平臺(tái)才能得到大家的支持，笑到最后。大家也在等待新的‘英雄誕生’?！?/p>

十年過(guò)去了，補(bǔ)天漏洞響應(yīng)平臺(tái)已經(jīng)成為了全球計(jì)算機(jī)安全行業(yè)的佼佼者，擁有了龐大的成員和資源。但不管如何發(fā)展，他們始終保持了一份當(dāng)初的初心，懷揣著理想與責(zé)任一步一個(gè)腳印，堅(jiān)守在公益第一線(xiàn)，保護(hù)更多人的網(wǎng)絡(luò)安全和隱私。

補(bǔ)天平臺(tái)是不是真的“補(bǔ)天英雄”，只能放眼到整個(gè)歷史的長(zhǎng)河留給后人評(píng)判。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。