2017年6月1日21:21分

某監(jiān)獄里，對(duì)話如下：

犯人A:你們都是怎么來(lái)的？

犯人B:我是XX漏洞平臺(tái)挖漏洞不小心進(jìn)來(lái)的。

犯人C:我是XX平臺(tái)路人甲，輸錯(cuò)命令了rm -rf / （批量刪除）

犯人D:我是某測(cè)評(píng)中心的忘了要授權(quán)了……

犯人E:我。。。就是那個(gè)在群里成天陪你們吹牛逼斗圖的HELLEN?。?/p>

犯人F:這下齊了，到底誰(shuí)黑的我網(wǎng)站我不打死你，我是那個(gè)管理員站長(zhǎng)。

……………………

黑客技術(shù)哪家強(qiáng)？中國(guó)監(jiān)獄是天堂 !

沒錯(cuò)，以上只是個(gè)段子。但是在6月1日那天，這條段子在安全圈的微信群里傳得很廣，因?yàn)槟翘臁毒W(wǎng)絡(luò)安全法》正式實(shí)施。

雖然安全圈里不少人都挺有自嘲精神的，但這些自黑的段子，明顯也透露出幾絲擔(dān)憂，像是一段對(duì)白：

 嘿，老鐵，知道你沒毛病，也沒有壞心思，可好心辦壞事的情況也不是沒發(fā)生過(guò)。要是一不留神就犯了法進(jìn)去了，那就太冤了。多注意點(diǎn)吧！

這種擔(dān)憂并不是沒依據(jù)的。提兩個(gè)真事。

一個(gè)是去年鬧得沸沸揚(yáng)揚(yáng)的“袁煒事件”。

2015年底，烏云漏洞平臺(tái)的白帽子袁煒提交了一個(gè)世紀(jì)佳緣的安全漏洞，世紀(jì)佳緣確認(rèn)并修補(bǔ)了這個(gè)漏洞，同時(shí)在烏云網(wǎng)上對(duì)白帽子表示致謝。但事后他們統(tǒng)計(jì)發(fā)現(xiàn)，有900多條有效數(shù)據(jù)被攻擊者獲取。

出于對(duì)信息安全的擔(dān)憂，世紀(jì)佳緣選擇了報(bào)警。警方調(diào)查后才發(fā)現(xiàn)只有袁煒一個(gè)人涉嫌此案。最后袁煒被檢察院公訴，2016年4月被批準(zhǔn)逮捕。

事件一出，整個(gè)安全圈都炸開鍋了。隨之而來(lái)的是各方對(duì)于白帽子行為邊界的深刻討論。

第二件事就發(fā)生在最近，不過(guò)沒有上一個(gè)那么“刺激”。

6月1日 ，某知名互聯(lián)網(wǎng)公司的安全應(yīng)急響應(yīng)中心（以下簡(jiǎn)稱“SRC”） 發(fā)布了一篇公告，指出其平臺(tái)上有白帽子不遵守平臺(tái)漏洞測(cè)試原則，在未經(jīng)他們授權(quán)的情況下擅自公開披露了一例漏洞細(xì)節(jié)。最后的結(jié)果是取消了該白帽子提交該漏洞的獎(jiǎng)勵(lì)。

公告一出，也是眾說(shuō)紛紜。有人覺得專挑《網(wǎng)絡(luò)安全法》實(shí)施當(dāng)天發(fā)公告，言辭還挺激烈，這是示威啊！也有人覺得這沒毛病，就得按照法律和規(guī)則來(lái)，凡事講道理嘛；

當(dāng)事人白帽子也在其博客里指出，該SRC在發(fā)出公告之前，曾經(jīng)在沒通知的情況下，凍結(jié)了他賬戶下的所有漏洞獎(jiǎng)勵(lì)積分（包括之前挖漏洞的獎(jiǎng)勵(lì)），導(dǎo)致他無(wú)法兌換獎(jiǎng)品。 雖然錢是小，但是讓人很不爽?。。ㄟ€發(fā)了公告）

▲ 圖片來(lái)自當(dāng)事人白帽子的博文

這兩件事其實(shí)是企業(yè)和白帽子的矛盾關(guān)系在極端場(chǎng)景下的激活和爆發(fā)。什么矛盾呢？“又愛又怕”的矛盾。

企業(yè)對(duì)白帽子是又愛又怕的。

他們愛白帽子，因?yàn)楹笳吣転閹退麄儼l(fā)現(xiàn)不少安全漏洞，有時(shí)還給出修復(fù)方案，維護(hù)了他們的業(yè)務(wù)穩(wěn)定；但他們又怕白帽子“放蕩不羈愛自由”，懶得看法律條文和平臺(tái)，按自己的行事邏輯辦事。也怕白帽子因?yàn)閷?duì)法律的不了解做出一些有爭(zhēng)議的事。還怕有黑產(chǎn)分子假借白帽子的名義，傷了雙方的感情，還敗壞了白帽子的名聲。

白帽子對(duì)企業(yè)也是又愛又怕。

他們喜歡挖漏洞帶來(lái)的回饋，不僅包括物質(zhì)上的禮物、獎(jiǎng)金，更有精神上的鼓勵(lì)——自己的ID出現(xiàn)在感謝名單上的自豪、組隊(duì)挖漏洞帶來(lái)的好基友和技術(shù)討論氛圍；同時(shí)他們也怕自己一不小心就背了鍋，對(duì)方發(fā)來(lái)感謝并逮捕了自己，也怕自己的漏洞得不到認(rèn)可。

好，那有沒有辦法讓這種微妙的關(guān)系達(dá)到某種平衡，形成一種默契呢？將“怕”的那一部分盡量降低，減少大家的顧慮和畏懼呢？

其實(shí)各家企業(yè)的SRC和漏洞平臺(tái)都在努力尋找這個(gè)答案。最終，他們選了一個(gè)還不錯(cuò)的解決方案：規(guī)則。

于是他們推出“白帽子協(xié)議”。

6月1日那天，超過(guò)19家企業(yè)的SRC組成了“SRC聯(lián)盟”共同上線了“白帽子協(xié)議。

白帽子協(xié)議是什么？按照我的理解，白帽子協(xié)議是一個(gè)企業(yè)和白帽子之間的約定。

哪些事能干，哪些不能干，哪些需要提前打個(gè)招呼，咱提前都先交代好，簽個(gè)協(xié)議點(diǎn)個(gè)“同意”，雙方達(dá)成一致覺得沒問(wèn)題了，然后就可以繼續(xù)開心地挖漏洞、刷榜和拿獎(jiǎng)勵(lì)了。

 之后的相關(guān)情況都有限按照之前約定好的來(lái)，這樣大家都服氣。沒什么爭(zhēng)執(zhí)，也不容易出問(wèn)題。

▲ 京東 JSRC 的白帽子協(xié)議頁(yè)面截圖

畫外音：擦，這么多規(guī)矩，條條框框，不是讓我們白帽子挖漏洞捆手捆腳了嗎？

還真不是。我做個(gè)類比：

《網(wǎng)絡(luò)安全法》制定之后，一開始也有不少人擔(dān)心，覺得這會(huì)讓安全從業(yè)者的活動(dòng)空間越來(lái)越小，捆手捆腳?？珊髞?lái)人們發(fā)現(xiàn)，誒？長(zhǎng)遠(yuǎn)看來(lái)，制定了規(guī)則，明確了邊界反而讓人更能安心來(lái)做事，知道底線和邊界在哪，反倒能在邊界之內(nèi)放開手腳去干，不必畏首畏尾。

同樣，漏洞平臺(tái)和企業(yè)SRC也為白帽子制定“白帽子協(xié)議”，確定各自平臺(tái)的規(guī)則和邊界。這讓白帽子也會(huì)心里有底，知道自己的權(quán)利和義務(wù)，可以在規(guī)則之下放開手腳，而不會(huì)迷迷糊糊做事，莫名其妙就出現(xiàn)了分歧和誤會(huì)。

當(dāng)然，如果白帽子不同意某個(gè)平臺(tái)的協(xié)議，雙方?jīng)]有達(dá)成一致，那就干脆不要開始，這家不行就換別家挖嘛，至少不會(huì)出現(xiàn)撕逼和誤會(huì)。

提前交代好權(quán)利義務(wù)和利害關(guān)系，對(duì)雙方都是一種保護(hù)。

畫外音 ：SRC 非要同意協(xié)議才讓挖漏洞，他們不怕這樣弄得白帽子都“不敢”或者“不愿意”去幫他們挖漏洞了嗎？

我把這個(gè)問(wèn)題問(wèn)了此次”白帽子協(xié)議“主導(dǎo)者之一京東JSRC的老大李學(xué)慶，他的回答原話是這樣的：

這個(gè)問(wèn)題我之前考慮過(guò)，也擔(dān)憂過(guò)，但是我覺得讓白帽子知道條款中的內(nèi)容比擔(dān)心白帽子不來(lái)我們平臺(tái)挖漏洞更重要。

我不希望白帽子由于不知道條款中的內(nèi)容，不知道網(wǎng)絡(luò)安全法的嚴(yán)肅性而不小心給他們自己帶來(lái)麻煩。

李學(xué)慶告訴雷鋒網(wǎng)，當(dāng)他們把“白帽子協(xié)議”以及網(wǎng)絡(luò)安全普法的想法告訴陌陌等其他 SRC 的運(yùn)營(yíng)團(tuán)隊(duì)時(shí)才發(fā)現(xiàn)，大家原來(lái)都想到一塊兒去了，各家 SRC 大多都有類似的想法。

一拍即合，最后居然有 19家 SRC 愿意一起做。此外還有其他SRC有類似的活動(dòng)計(jì)劃，只是因?yàn)楣?jié)奏不一致所以很遺憾地沒能一起來(lái)做。

宅客發(fā)現(xiàn)，前文提到的6月1日發(fā)公告“懟”了白帽子的那家SRC也在其中。（好吧其實(shí)就是網(wǎng)易 SRC ，不匿了）

從宅客的角度來(lái)看這個(gè)問(wèn)題，無(wú)論是當(dāng)事人白帽子在其博客公開把這件事的事前因后果說(shuō)出來(lái)也好，網(wǎng)易 SRC 公開發(fā)布聲明也好。

與其私底下解決，最后相互猜忌懷疑，不如像他們這樣大大方方把事情擺在明面上來(lái)說(shuō)。雖然這可能給人留下強(qiáng)勢(shì)的印象，但至少能讓其他白帽子知道他的原則和底線。

就像交朋友，脾氣沖，但心直口快的人，可能一開始給人留下“強(qiáng)勢(shì)”、“裝逼”、“暴脾氣”的印象，但這種人往往溝通交流更輕松直接，不會(huì)藏著掖著。

網(wǎng)易SRC作出公開發(fā)公告這件事也是有壓力的。一般來(lái)說(shuō)，大廠公關(guān)的標(biāo)準(zhǔn)流程通常是大事化小。但他們這次選擇扮一次黑臉。選擇當(dāng)沖出到當(dāng)那個(gè)心直口快，敢把事情挑明了說(shuō)的人。

或許他們知道這公告會(huì)讓一些白帽子不太舒服，甚至讓自己平臺(tái)的白帽子流失的。但也正如JSRC李學(xué)慶所說(shuō)：

我覺得讓白帽子知道條款中的內(nèi)容比擔(dān)心白帽子不來(lái)我們平臺(tái)挖漏洞更重要。

把事情擺在明面上說(shuō)，忍痛挖掉個(gè)腳底的爛瘡，雖然一時(shí)劇烈疼痛，但也只有這樣才能最終痊愈。而不是讓它慢慢爛透。

JSRC 李學(xué)慶告訴雷鋒網(wǎng)，僅僅看京東的JSRC的數(shù)據(jù)，上線白帽子協(xié)議一天后，就有69個(gè)白帽子閱讀并同意了協(xié)議，到第三天的時(shí)候已經(jīng)有超過(guò)100個(gè)白帽子閱讀并同意了協(xié)議。

顯然，越來(lái)越多的白帽子也意識(shí)到，規(guī)范起來(lái)，大家把事情講明，也并非什么壞事。說(shuō)出來(lái)，總比不說(shuō)要好。

和 JSRC 的李學(xué)慶交談的最后，他告訴雷鋒網(wǎng)，

我一直認(rèn)為安全響應(yīng)中心的初衷是為了企業(yè)與安全從業(yè)者共同打造一個(gè)良性的安全生態(tài)。

所以我更希望所有的安全響應(yīng)中心能夠拿出更真誠(chéng)的態(tài)度，聯(lián)合所有的資源為白帽子做些實(shí)事。當(dāng)然我也更加希望白帽子兄弟們能夠不忘初衷，用自己的正道能力幫助企業(yè)彌補(bǔ)安全的不足。我堅(jiān)信未來(lái)的中國(guó)安全將是領(lǐng)先的，健康的，受世界尊敬的。

也希望未來(lái)SRC和白帽子的關(guān)系能真的如此。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。