近两年来，国内的漏洞检测与响应平台不断兴起。补天、乌云、先知、Sobug、漏洞盒子、漏洞银行……更不用说上百家互联网、IT等企业的自建SRC（安全应急响应中心）平台。

一方面是漏洞响应与众测服务的快速发展，而另一方面，这种模式和它的核心人员——白帽子，也面临着业内的一些置疑和误解。为此，安全牛本次访谈栏目，走访了补天漏洞平台负责人白健。从他的口中，得已了解这家目前国内最大的漏洞检测和响应平台，以及如何看待并引导这一新兴事物的方方面面。

个人简历

白健，补天平台负责人，毕业于西安交通大学。从业经历涉及面广泛，涉及IT运维、IDC、云计算、信息安全等多个领域，从2016年初开始负责补天平台相关工作。

一、补天是一家漏洞检测与响应平台

安全牛：请大致谈一下补天的基本情况？

白健：补天的实质是一个漏洞检测与响应平台，核心的工作有两类：一是做公有SRC，收集漏洞然后免费通知企业做响应。另一种是给没有力量建立专属SRC的企业，在补天的平台上建立企业自己的SRC，补天帮助企业运营。企业需要在平台上注册，并签署相关服务协议，授权白帽子进行测试。

所谓的漏洞检测是指渗透测试。这个领域可分为两种，一种是授权测试，一种是非授权测试。前者比较正规，后者容易产生争议。但非授权测试，白帽子的动机都是为了避免漏洞被黑产利用，这种检测与报告机制，有利于提升整个社会的安全意识。

补天平台目前的白帽子注册数量有3万多，收集的漏洞总数已经突破10万，发放了900多万的奖金，还有很多实物礼品和积分。这些漏洞涉及到2万多家企业，而在补天上实际注册的企业有4千多家，也就是说差不多有80%的企业，还没有正式开始为自己的漏洞问题做响应。

二、人才短缺催生众测市场

安全牛：众测这种模式是如何产生的呢？

白健：众测这种服务，国内与国外基本上是同时起步的。国外的一些众测平台的运营模式也与国内差不多，还有的平台只做精英性质的授权测试，白帽子数量很少，但水平很高，以承接本国政府和国防部门的渗透测试合同为主。

至于兴起的原因，我觉得首先是因为人才稀缺，目前在攻防两方面的人才体系上形成了一边倒的情况，大家都在教防护，攻击渗透方面的人才特别少。众测是被市场催生出的一种以互联网为基础的人才复用模式，互联网打破了地域限制，提高了效率，再加上不同的人可以从多个角度来思考，漏洞的发现率也提高了很多。

其次，我觉得还与白帽子群体的特性有关。白帽子一般都比较年轻单纯，崇尚自由与个性，不太愿意规规矩矩地打卡上班。而企业那边，即使真的招了一个渗透能力很强的人，大多时候也是闲着，企业更多的是需要做安全防护工作的人才。

另外，大型企业，特别是政府、国企，它的人才引进门槛是很高的，白帽子大多学历无法满足要求。有了众测之后，事情就变的简单多了，企业只需要采购服务，平台选拔认证白帽子之后，通过项目把大家集合在一起，各自发挥所长，共同完成项目。

我觉得是这些原因促成了众测模式的出现，也迎合了市场的需求。

三、黑白其实很分明

安全牛：虽然市场的确有需求，但很多企业对白帽子还是不太信任？

白健：说到这儿有一点值得强调一下，精英白帽子的身份其实已经很透明了，在各个平台都需要注册、登记，补天平台甚至还有实地面对面地接触与访谈，白帽子都是一群充满正义感的年轻人。

与此相反，做黑产的人是不敢把身份亮出来的。没有正义感的驱使，提交漏洞的奖金对他来说只是蝇头小利，跟黑产的回报相差太大。

因此，这两个群体还是分的很清楚的。所以我们要积极引导白帽子正向发展，用自己的力量为社会做贡献，同时还要打消外界对他们的误解，全社会都不要再另眼看待他们。

安全牛：那你如何看待乌云平台的关闭呢？

白健：我们对乌云平台并不是很了解，也只是从新闻报道了解了一些信息，所以没有办法评价。

我们注意到国外有些漏洞研究团队，会依据延期通报原则公开漏洞信息。它更多的是从科学研究或学术讨论的角度来出发做这个事情，并且没有追求商业利益。

实际上，我们也一直在思考漏洞收集的机制，我们认为作为漏洞平台，应该引导白帽子体现安全价值，帮助企业解决安全问题而不是追求商业利益。

四、众测市场的规模也就一两个亿

安全牛：依你的经验来看，目前众测市场的规模有多大？

白健：我没有作过这方面的具体调查，但从我们日常的运营来看，这个市场并不大。

国内目前比较知名的众测平台，除了360众测，还有Sobug、漏洞盒子、漏洞银行和先知等，但我们在项目中很少碰到这些平台，有可能是大家的客户群体不太一样。

360众测依托的是360企业安全，各方面做得很规范，所以在白帽子的筛选、认证、管控、资质和技术能力等方面容易得到大型客户的信任；而创业公司资源有限，不一定能达到大客户的要求，可能服务了一些小型客户。

国内众测的市场规模，估计一两个亿。中国的安全服务市场一年也就几十亿，而渗透测试在安服中大概占到10%，再具体到众测服务就更少了。

我们在这个领域并不排斥竞争对手，反而欢迎越来越多的人参与进来。一起来正向引导白帽子，把他们的力量发挥出来，走上正义的英雄之路，而不要被黑产的利益引诱，走上犯罪道路。所以，我们很欢迎更多的大公司进入这个领域，特别是有实力的，能保证持续投入和保证平台自身安全的大公司。

五、不以赢利为目的 社会价值很重要

安全牛：那也就意味着，补天并不是360企业安全的一个重要商业模式？

白健：补天从一开始就不是一个商业性的产物，老齐也明确对我说过不许补天赚钱的事。补天平台的目标是希望能够成为企业和白帽子的沟通桥梁，真正解决企业的漏洞响应等安全问题。

我们发现漏洞之后，会免费通知相关企业并给出修复建议。如果你免费服务企业，企业就会感谢你，我们确实是在身体力行地帮助企业，帮助他们解决漏洞这个非常现实的安全问题。这其实背后的逻辑，还是延续之前360做免费安全的理念。通过补天漏洞检测与响应平台，能够让全社会都更重视安全问题，让这个行业能健康良性发展。

当然，目前这个行业里还有很多事情亟待解决。比如一些重要部门或重点行业，需要更高级别的服务和更高级别的管控。这时，白帽子的技能、身份、背景、资格等都需要做认证和担保。我们最近就正在推动一个事情，可以说是白帽子的一种从业资格或认证。它属于精英性质的，一旦取得这个认证，就意味着可以在众测平台和政府的联合认可和监管下，可信、可控、合法的对重要系统实施渗透测试工作。

这将促进整个行业有序发展。我理解，让行业有序、生态健康，这才是补天平台之于集团的价值所在。

安全牛：据我了解，补天用于漏洞提交方面的奖金，相比有些大型互联网公司并不算很多，这是出于什么方面的考虑？

白健：其实对于白帽子的引导，除了奖金收入以外，我们更多的是想提升白帽子的正义感和荣誉感。比如我们会经常性的举办一些沙龙性质的活动，评选一些优秀的白帽子，对他的个人能力和突出贡献给予充分的肯定。

我们还邀请知名律师去做法律讲堂，普及法律知识；邀请资深安全专家，帮助白帽子做好职业发展规划，传导正确的价值观等等。补天所做的这些工作，实际上是在为整个社会做贡献，这也是补天的社会价值所在。

六、法律边界难于界定 动机是关键

安全牛：平台运营过程中会遇到哪些问题和困难？

白健：大多数问题主要表现在，企业对白帽子群体的不理解。比如在世纪佳缘事件之后，有些企业就试图模仿这个模式来问责白帽子。但实际上，即使是非授权测试的行为，是否构成犯罪也是有严格认定过程的。

据我们和法律专家以及检察机关人员的沟通，非授权测试行为是否为构成犯罪，不仅是考虑造成的后果，而且还要看测试人员的动机到底是想帮助企业解决问题，还是想获取不正当利益。

之前企业的安全负责人并不了解白帽子，甚至会误解成做黑产的黑客。但当我们把白帽子的真实情况告诉他，甚至把白帽子约过来面谈之后，企业就会打消顾虑，接受并信任这个群体。

因此我认为最需要做的是打消企业的顾虑，把白帽子和黑产人员区分开来。对此我们去年做了很多沟通工作，及时化解误会，目前为止没有发生任何一起法律纠纷。

七、中美文化的差异

安全牛：在去年，美国国防部五角大楼和美国陆军都先后实施了众测项目；相比国外，国内则要谨慎的多。你觉得两者的区别是在哪里呢？

白健：中美两国的众测环境的确不一样。我觉得西方政府，在它的社会文化里，对众测的接受度很高。不仅你说的五角大楼和美国陆军这些事情，一些漏洞平台甚至还会给白帽子提供渗透测试的培训资料。

但如果在国内提供网络攻击方法的案例或教学，则可能会涉嫌违法。比如有人接受你的培训之后做了违法的事情，那么教学机构是要负连带责任的。我想这更多的是文化和制度上的差异吧。

不过从另一个角度来看，我们的环境同时也倒逼我们对自己提出更高的要求。既然企业要求高，那就对白帽子的资格认证会更严格，身份会更加透明。反过来，通过认证的白帽子参与更高级别项目的机会会增多，个人品牌的影响力也会变大，这是一件既有名又有利的事。

我们的核心白帽子，如同伙伴和同事，通过各种活动和业务紧紧地联系在一起，于是我们会特别清楚他的个人情况，知根知底。反观国外的漏洞平台，它们无法做这些事情，只能通过第三方身份认证机构来做白帽子的背书。

安全牛：目前白帽子群体的大致构成是怎样的？

白健：数量方面，一大部分是已经在职的安全从业人员，包括甲方企业和乙方安全公司，以及其他一些研究机构的技术人员。还有一部分是安全的新兴力量，以学生为主，大约有30%至40%。

年龄方面，以95年左右出生的最多。这个领域主要是年轻人居多，一方面好学，另一方面精力也比较旺盛。而那些在安全领域有着5到8年工作经验的人，大多已经具备比较深的技术水平和研究能力。这时他往往就会去做一些更高层次的安全研究，追求更大的回报，包括个人的事业发展等。

八、补天白帽大会

安全牛：听说你们这个月底要在深圳举办白帽大会，谈谈这次会议的情况吧？

白健：补天白帽大会的出发点很简单，就是想为大家建立一个漏洞检测与响应方面的沟通平台。比如，企业的应用发生安全事件，可能是因为背后的业务逻辑出了问题，而非安全人员不负责任。而白帽子通知企业安全漏洞的动机，绝大多数是出于好意。

大会上午的议程主要为一些政策指导和企业案例分享，并且为优秀白帽子和企业颁奖，肯定白帽子的安全价值。下午则主要是安全技术以及各大SRC秀，为大家打造一场技术交流的盛会。大会的演讲嘉宾可以说企业安全技术人员与白帽子各一半，以达到攻防双方多多沟通，换位思考、共同提升的目的。

这次大会我们还联合了十几个SRC平台，如百度、联想、携程、京东、滴滴等，在大会上，这些SRC都会轮流上场亮相，介绍各自的特点和优势，招募和吸引白帽子。

安全牛：有点意思，众测平台居然邀请这么多SRC，并上场公开招募白帽子？

白健：是的。一般来说，白帽子是众测平台的资源，平台并不希望资源的分流，但我们现在鼓励大家一起参与，一起来鼓励和支持白帽子。这是因为补天平台坚持公益属性，我们把这种正向引导活动看作是公益活动，而360作为一个知名的互联网企业，也应该多承担一些社会责任。

另外，我们还特意邀请了美国知名的漏洞平台HackerOne，刚才我们说过的美国五角大楼的众测项目就是它承接的。同时，我们还邀请到了DEFCON全球协调人Jayson，并将在大会现场举办一个分论坛，”DEFCON专场”。大家知道，DEFCON象征着黑客文化（在国外“黑客”这个词并没有负面含义），我们想通过这种协同的机制加强与国外的交流，为国内引进一些国际性的黑客文化，让大家越来越了解这个群体，这样社会就会对这个群体更加的接受和包容，同时对人才的引导和培养也在逐渐跟上。

最后，我们想通过与国外的漏洞平台和安全组织的联系，摸索是否有可能在一些重大漏洞事件上建立互相通报的机制，以及在一些比较新的互联网领域，尝试引进国外的白帽子做测试。国内国外白帽子的思维模式和测试方法，还是有着一定的差异，通过合作，我们可以从更多的角度，更立体地分析和解决问题。