安全问题,对于一个企业来讲,重要程度不言而喻。只是,尽管接二连三的发生安全事件,国内企业对安全的重视程度,相较国外依然有一定的差距。国内重视安全问题的,往往是比较大公司和机构,比如大型国企、银行和运营商等等。它们要么有自己的安全团队,要么会选择安全公司。
而这两点,对于普通的企业来说,一来国内安全行业尚未成熟,人才较少,找到合适的人很难。其二是将安全外包出去,成本又太高。
简单来说,乌云众测是依托于乌云社区的一个安全众包平台,通过对接企业和白帽,帮助企业解决安全问题。针对以上两个痛点:1. 乌云社区目前有超过 5000 个白帽子,专业人士不缺。2. 乌云众测基于众包的模式,当企业将安全测试与渗透评估等需求经过审核后发布到众测平台,乌云众测通过对白帽子提交的历史安全问题作为基础技术考核,加上其他的认证措施为企业临时组建一个有质量保证的安全团队,以更便宜的价格,给企业提供安全服务,其严格的准入和竞争机制还可以确保发现的结果更准确和全面。
目前众测以漏洞结果和项目打包计费的方式进行,由企业对发现的安全漏洞进行评估,同时根据评估的结果向白帽子付费,众测平台会收取一部分的服务管理费用以维持运营。经过一段时间的积累,目前已经不少企业体验过乌云众测了,其中包括一些云服务,电商以及比特币平台,甚至还有一些传统软件。
在乌云社区创始人方小顿看来,推出众包安全众测平台“乌云众测”是很顺水推舟的事。此前,此前白帽子和平台帮助很多企业发现了重要的安全问题。这让不少企业开始意识到两个问题:除了被指出的,产品是否还存在其他漏洞?是否应该在产品上线之前就测试一下其安全性?
随着企业这种需求越来越多,乌云社区开始利用自己平台上的资源,去满足企业的需求,经过一年左右的内测时间,终于于近期推出了正式的产品。
方小顿跟我说,尽管未来乌云还会推出类似众测的产品,但乌云社区依然是最基本的,他希望这个社区能够推动整个安全行业往前走,在培养更多安全方面人才的同时也让大家认识到安全问题的重要性,另外也希望能够组织白帽子为更多的企业提升安全。