11月16日,“天府杯”2019国际网络安全大赛暨2019天府国际网络安全高峰论坛在成都西部博览城盛大启幕。除如火如荼的比赛与精彩纷呈的论坛分享外,此次大会还重磅举办了网络安全成果展示转化展和针对互联网专业人才招聘会。其中,成果展示转化展以“立足天府、辐射西南、面向全国”为目标,聚焦网络安全产业前沿动态,汇聚海内外最新信息技术研发成果,秉持“高、精、专、新”原则,邀请信息安全、人工智能、大数据、云计算、5G等领域的龙头骨干企业参展,打造起“国内一流、业内顶尖”的行业交流平台。
作为国内最大的网络安全公司360也应邀出席此次盛会,它不仅承办了软件安全漏洞研究分论坛,同时还携近期火爆安全界的国内首家开源漏洞响应平台——360BugCloud重磅亮相成果展示转化展。
360BugCloud重磅亮相“天府杯”
以三大优势稳居C位,360BugCloud成天府杯最亮的仔
360BugCloud是国内首家开源漏洞响应平台,它致力于维护开源通用软件安全,力争打造以技术为驱动、以安全专家为核心,针对开源通用型高危漏洞进行安全研究及应急响应的组织与平台。纵观该平台,它具备三大硬核优势:聚焦接收影响范围最广的开源通用漏洞;以高价值创造高价值理念,向每一位英雄致敬;同时以亘古未有的公平、自古,打造“自主议价”创新模式。
硬核优势一:国内首家,聚焦接收开源及通用组件的漏洞
众所周知,全球几十亿的设备都基于某种开源软件而开发,一旦某个通用型开源漏洞被利用来攻破网络,顷刻间它能影响世界上数亿万设备。这里有个典型的案例:2014年,“心脏滴血”漏洞被发现,这是一个出现在加密程序库OpenSSL的安全漏洞,而OpenSSL则是开源的 SSL 套件,为全球成千上万的web服务器所使用。据报道,该漏洞致使全球1/3网站核心数据被随意掠夺。
除此之外,开源代码的使用范围极为广泛,漏洞以及高危漏洞不可避免。国外某公司对 1100 个商业代码库进行了审计,他们发现,截至至2018年,已经有超过 40000 个开源漏洞被报道,每个代码库平均包含64个漏洞。由于开源代码在商业应用和内部应用中已无处不在、极具通用性,一旦被攻击者利用,那将是一场无法预估损失的浩劫。尤其在甚嚣尘上的网络战中,高危漏洞也早已被以及正在被某些国家用来攻击他国国防军事、能源、电力等关键基础设施等各个领域。
所以,以守护国家、企业、个人安全之责,以维护世界大安全之责,360BugCloud开源漏洞响应平台随势而来、应势而生。
硬核优势二:尊重价值,360BugCloud向白帽英雄致敬
0day漏洞和1day漏洞存在巨大的威力。以视频会议软件Zoom的一个零日漏洞为例,攻击者能在不经用户允许便启动用户的摄像头,监视用户的任何行为;而另一个经典的MS08-067漏洞,由于没有及时修复,黑客利用该漏洞传播了Conficker蠕虫病毒传播,感染了超一千五百万台计算机。
此外,伴随时代与技术的发展,一个零日漏洞也很少在单枪匹马作战,它们更多采用起联合作战模式,几个甚至几十个0day漏洞被联合利用发动进攻。更为严重的是,这些“有效集结”起来的零日漏洞,在近些年来还被一些国家级黑客组织利用,成为国与国博弈的重要“军火武器”。
巨大威力带来巨大价值,承认漏洞的高价值并坚信高价值理应创造高价值。所以,360BugCloud开源漏洞响应平台一上线便携一千万资金而来,并设定了“四位数起且上不封顶”的致谢金额,以此,来表达对每位安全研究员研究价值的认可,以及维护开源软件和社区平台安全的决心。
硬核优势三:公平自主,360BugCloud创新推出“自主议价”全新模式
在以往的漏洞“提交模式”中,研究员不能完全掌握提交漏洞的主动权,致使漏洞的价值不能被充分肯定,研究员的心血也不能被充分尊重,这带来的严重后果是:高危漏洞严重流失,甚至被一些不法份子、或是一些居心叵测的国家掌握。
为此,360BugCloud创新推出“自主议价全新模式”。前期研究员仅需提交漏洞影响力的描述,无需提供细节;平台根据描述与研究员进行议价,若未达到研究员的心理预期价格,其有权结束交易,亦可请求平台接入第三方业内知名安全专家参与评估。议价成功后,研究员提交漏洞细节,平台会对漏洞进行验证,核实漏洞有效后打款致谢。
与此同时,360BugCloud也非常重注对漏洞的保密,在整个议价期间内,不会泄露漏洞的细节描述。以极致的模式与守护,尊重安全研究员的心血与成果。
以重磅成果稳居C位,360BugCloud直面新威胁、护航大安全
作为国内首家开源通用响应平台,360BugCloud不仅以聚焦接收开源及通用组件的漏洞;尊重价值,360BugCloud向白帽英雄致敬;以及公平自主,360BugCloud创新推出“自主议价”全新模式等优势特色赢得业界认可;同时,它更以重磅成果展示了其自身的重要价值,在此次“天府杯”上大放异彩。
据数据显示,平台仅上线第一周就收到来自全球超300个开源高危漏洞。每一个漏洞都足以直接造成批量信息泄露,或直接威胁主机安全。仅初步统计,这批漏洞的提交成功守护了上千万终端,其中包括建站系统类511万,框架插件类322万,客户端软件201万等,涉及政府、企、事业等上百余家单位,覆盖能源、金融、交通、医疗、电信、教育众多关键行业领域,挽救了全球数亿的价值损失,共同维护了开源软件及社区平台的安全。
尤其是面对网络战争向常态化趋势发展,漏洞以“军火”之姿,如“致命顽疾”正在全球网络中蔓延的当下,漏洞不仅是网络安全的“命门”,更成为当今第五维空间战场上的“国防”要害。聚焦接收高危漏洞这一军火武器,对守护国防大安全至关重要。
此外,360BugCloud守护大安全,向白帽英雄致敬的理念也正和天府杯吸引和培养更多网络安全人才,助力网络强国建设的主旨相呼应。在这里,360BugCloud为安全研究员打造了全国最顶级的高端交流平台,以“协作无界,让世界走在威胁之前”的平台愿景,秉持“信任、原则、权威、共建”的宗旨,与全球的安全专家携手共建网络安全新生态,共创21世纪第五维战略空间新纪元。
维护开源通用软件安全,360BugCloud期待与您携手同行。
官方漏洞提交地址为:https://bugcloud.360.cn