雷鋒網(wǎng)按：本文作者趙武，白帽匯創(chuàng)始人，作者原定標題為《白帽子與漏洞平臺》。

“非常感謝提交漏洞和對XXXX的支持，我們已第一時間將漏洞修復完畢，并抓捕了你”?？催^這么一句話，你會不會莞爾一笑？對了，還有一條表情包的內(nèi)容是這樣的“我有烏云保護，日你網(wǎng)站怎么了，不僅日你網(wǎng)站還拖你褲子……怎么了”。大家又樂呵了一把。

昨天一條信息引爆了國內(nèi)的信息安全行業(yè)，某廠商報案把某平臺上一個提交漏洞的技術(shù)人員給抓了，行業(yè)兩派的爭議不斷，互相鄙視，程度遠遠超過了當年Windows陣營對Mac陣營?！鞍酌弊印迸桑ㄎ覀児们疫@么叫）是說廠商太無恥，我們好心給你們提漏洞，你們居然敢這么對我們，你們要像其他廠商學習，人家不只快速修復，還有獎勵；“親廠商”派說你們明確觸犯了刑法，未得到授權(quán)，泄露了信息，把一個單純的技術(shù)漏洞硬是利用到了公關(guān)層面，公開數(shù)據(jù)公開細節(jié)，對企業(yè)造成了極大的負面影響。

我并不想就本身的事件進行任何的重復，我碼這段文字是因為我發(fā)現(xiàn)大家沒有意識到，要爭論的根本問題是什么。白帽子和漏洞平臺到底想要達到什么樣的訴求，廠商到底想要達到什么樣的訴求，以及最終能通過什么樣的渠道去解決。

大家喜歡用一句話來說明問題“不忘初心，方得始終”，這似乎是一把尚方寶劍，放到哪都能用，都是權(quán)威，說了這句話我們就無敵了，任何傷害反彈。好吧，我們按照這個思路來說明一下問題。漏洞平臺的初衷和白帽子的初衷是什么？我暫且先用這么一句話來代表白帽子描述——

“我們有著足夠強大的技術(shù)力量能夠幫助企業(yè)發(fā)現(xiàn)問題，并協(xié)助企業(yè)解決問題。也希望企業(yè)能夠信任我們，支持我們的行為。我們并不求任何回報，不過有一定的回報我相信我們能配合的更深入更好?！?/strong>

我覺得這個初心沒有任何問題，這個社會一定有很多人心存善意，愿意打造一個和諧互助的環(huán)境。但是一個巨大的攔路虎在哪里：刑法兩次的修正案都明確定性了，未授權(quán)入侵檢測，獲取了數(shù)據(jù)，尤其是在傳播的情況下明確屬于違法行為。這些條文大家能看出來，防君子不防小人。一個國家需要這么一批有能力的人，但是又不希望是完全不可控的，所以立了法，沒有傷害沒人追究就持觀望態(tài)度，一旦事情鬧大有了負面影響，不打擊是不可能的了。

任何一個個體抗風險能力為0，你的善心在尚未得到驗證之前是不被認可的，說抓也就抓了。于是出現(xiàn)了一些漏洞平臺，他們有一些官方層面的認同和合作，有些事情就有了溝通渠道。這時候，白帽子群體的共同訴求開始進行了轉(zhuǎn)變，他們希望“這種漏洞的發(fā)現(xiàn)和披露形式是合法合規(guī)且合理的”。也許掩蓋了一些魚目混雜的假白帽，但是大部分人還是希望能夠往好的方向發(fā)展。

這個過程中，形式確實發(fā)生了一些變化，執(zhí)法部門加入了嘗試性的接觸和觀望態(tài)度，他們也不希望涉入太深；各企業(yè)也開始了與各漏洞平臺試探性的合作。記住了，這些都是實驗性質(zhì)的，誰也沒有對此定型善或者惡，都想先通過行業(yè)的自我發(fā)展來進行妥協(xié)和調(diào)整。

但是這種嘗試性的合作前期引起了誤解，最直接的體現(xiàn)是有少數(shù)一批白帽子們并沒有認清形勢的發(fā)展，突然感覺良好，認為漏洞平臺的實驗性質(zhì)的合作就是合法，導致無限膨脹了。比如有白帽子認為不給獎勵就是有問題，比如有白帽子認為廠商在技術(shù)上不認為是漏洞也是有問題，甚至是這種問題激怒了白帽子引發(fā)了“恐嚇”，“脫褲”，“刪數(shù)據(jù)”等過激行為（這是真實發(fā)生過的）。

前期沖突幾乎是一定的，可以預見的，因為沒有規(guī)則，沒有權(quán)威的機構(gòu)，只有民間自建的體系。記住了，所謂的和諧體系是一個初期妥協(xié)的產(chǎn)物，廠商對漏洞平臺的所謂合作，以及對白帽子們的認同，這種微妙的合作關(guān)系非常脆弱，就如同一張窗戶紙，一捅即破。如果廠商覺得白帽子的行為不可控，所謂的提交漏洞對企業(yè)弊大于利，那么企業(yè)就會反彈，撕破那張紙，向有關(guān)部門施加壓力。相關(guān)部門壓力積累到一定量的時候，很多事情就扛不住了，心想給你們機會不好好珍惜，鬧得社會不安寧，看著心煩于是干脆一巴掌拍死得了。

我們回到最初的訴求，白帽子是希望自己的身份得到認可，希望跟企業(yè)更好的合作。企業(yè)希望看到的是你真誠的笑臉，而不希望看到你背到后面的手上拿著一把刀。尤其在這個已經(jīng)明確定義為不合法的法律社會，白帽子很多事情不能做，很多玩笑不能開。你可以試想一個國家的領(lǐng)導人到勞苦大眾中視察，滿臉的笑親切的很，但是如果一個小攤販不識好歹，嘗試跟領(lǐng)導人勾肩搭背做兄弟狀，他離死也就不遠了。領(lǐng)導人跟你勾肩搭背開玩笑可以，你爬到他身上就不行。

上面說的大家如果能理解，那么我們再往后走一步：目前不合法，未來能不能合法？如果未來都看不到希望，我覺得這個社會未免太黑暗了。同性戀在多少年前全球就不合法，但是到今天我們再看看，許多國家已經(jīng)明確立法支持合法，很多國家雖然沒有明確支持，但是也沒有明確反對了，這就是進步這就是改變，這就是方向。所以，其實各大漏洞平臺都在做這樣的嘗試：

漏洞平臺越來越多，接入的廠商越來越多，跟相關(guān)部門的合作月來越多，白帽子越來越多切越來越能管控自己在一個合理可控的區(qū)域，那么整個生態(tài)體系的抗風險能力就強了，它就從一個黑暗面逐步進化到臺前。

這難道不就是希望么？

有個觀點我還想說一說，白帽子之所以發(fā)生膨脹，漏洞平臺不能完全脫離干系，如果平臺沒有處理好跟廠商的關(guān)系，那么平臺必須對真正善意白帽子做好保護工作，比如漏洞如何披露，數(shù)據(jù)如何展示。白帽子沒有法律意識，漏洞平臺必須有法律意識，找相關(guān)的律師事務所合作，不只是保護平臺，也要保護好白帽子在做貢獻的同時自身是安全的。除此之外，給白帽子進行一些規(guī)范，有所為有所不為，哪些紅線不能踩一定要先溝通好。否則，收漏洞時很開心，披露時也很開心，事情鬧的還挺大，出事了平臺說跟我無關(guān)是不利于行業(yè)發(fā)展的。

最后，有利益的地方就有犯罪，有進步的地方就有沖突。我們不要因為一些特例來一棒子打死一個新方向的嘗試，我們?yōu)槿魏芜^激行為（不論是白帽子還是廠商）表示遺憾，我們還是希望呼吁所有人正確看待白帽子們的貢獻。電能電死人不代表我們就不用電，車能撞死人不代表我們就不開車，電和汽車都是科技的產(chǎn)物，都是人類社會進步的產(chǎn)物。我們應當給予適當?shù)陌?，適當?shù)睦斫?，適當?shù)男蕾p。

幾點補充：關(guān)于這件事情本身，我跟平臺和企業(yè)方之前都深入接觸過，因此我也想再補充幾句：

1、白帽子未必做了傷天害理的事。對他而言，當他在點擊“提交漏洞”按鈕的時候并不認為跟往常有任何區(qū)別。只是報告漏洞，提供了一些證據(jù)，然后收到企業(yè)方的致謝以及小禮物。他知道自己并未做出任何破壞性的工作，相信廠商是理解的。

2、企業(yè)方的技術(shù)團隊未必真要抓白帽子。大家想過沒有，所有企業(yè)內(nèi)部的安全技術(shù)團隊成員其實就構(gòu)成了現(xiàn)在的所有漏洞平臺的白帽子團隊，他們發(fā)現(xiàn)別人廠商漏洞的成就感遠比發(fā)現(xiàn)自己公司的漏洞來得更強。某種意義上說，雖然技術(shù)人員相愛相殺，但是某個層面上會達成一致，不至于通過法律途徑來解決。就好比小學生鬧矛盾，大家會鄙視“告老師”的那位小盆友。所以，不要鄙視廠商的技術(shù)團隊。

最后，為什么會出現(xiàn)此類情況？我覺得兩種可能性比較大：

一是白帽子溝通過程中表達不當（白帽子太不擅長跟廠商打交道了，同學們啊）激怒了廠商；

二是廠商那邊有個“主戰(zhàn)派”，他們不一定懂技術(shù)，但是一定是公司相關(guān)權(quán)利部門，比如法務部／公關(guān)部之類的，當然，最怕的是老板，最怕的是老板，最怕的是老板。一個暴燥如雷的老板會直接推動事情的進展。他們會喊出“犯我領(lǐng)土者，雖遠必誅”的口號。強權(quán)確實在某些方面是有效的，至少氣勢上威懾住你。

所以，別怪白帽，別怪企業(yè)技術(shù)團隊。大家多一些包容，把誤會一步一步地消除。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。