在無(wú)數(shù)個(gè)向廠商提交漏洞的日子里， 以下的場(chǎng)景你是否似曾相識(shí)?

• 被廠商“白嫖”：“這根本不是一個(gè)漏洞!” 但當(dāng)你再次復(fù)查時(shí)，發(fā)現(xiàn)漏洞已經(jīng)被修復(fù)。
• 被廠商的威脅：“這就不是一個(gè)洞，但你敢公開的話就試試看!”
• 被廠商誤會(huì)：“你知道這樣是違規(guī)披露漏洞嗎?我會(huì)報(bào)警的!......” 然后你真的就被邀 “喝茶”了。
• 被廠商“占便宜”：“不好意思，今日起，這類漏洞的獎(jiǎng)金減半!”

近幾年，白帽子私曝漏洞的事件頻發(fā)，在業(yè)界引起了不小的波瀾，在告知白帽子私曝漏洞的行為會(huì)有觸犯法律的風(fēng)險(xiǎn)，呼吁白帽子加強(qiáng)法律意識(shí)之際，好像沒有人去深究白帽子選擇私曝漏洞的原因，也沒有人問過他們，“為什么你要違規(guī)披露漏洞?”。

為了一探究竟，筆者采訪了四位來自不同團(tuán)隊(duì)、不同背景的白帽子，了解這個(gè)群體選擇私曝漏洞背后可能的原因。

答案似乎很一致：炫技、法律意識(shí)不強(qiáng)、由于誤會(huì)和廠商起了沖突所以一氣之下公布漏洞……這三點(diǎn)是造成白帽子私曝漏洞的常見原因，其中第三點(diǎn)很可能是最主要的原因。

“不承認(rèn)漏洞就算了，他們還威脅我!你敢信?”

被誤會(huì)的月神：2017年，我在提交了某個(gè)互聯(lián)網(wǎng)新聞平臺(tái)的漏洞后，立馬接到了廠商的電話， “你到底是誰(shuí)，你是不是要攻擊我們，如果你敢亂來，我們就要報(bào)警了”，和對(duì)方解釋了半天，我才發(fā)現(xiàn)對(duì)方根本不是該廠商SRC的對(duì)接人，只是該平臺(tái)的業(yè)務(wù)人員，并且其對(duì)白帽子這一群體的性質(zhì)并不了解。

被“白嫖”的Balis0ng：遇到過一些廠商，對(duì)我提交的漏洞報(bào)告置之不理，過了幾天我再去檢測(cè)，發(fā)現(xiàn)漏洞已經(jīng)被修復(fù)了……我還遇到過向廠商連續(xù)提交了兩個(gè)漏洞，但廠商SRC對(duì)接人表示經(jīng)過開發(fā)人員鑒定，認(rèn)為這兩個(gè)漏洞是同一個(gè)漏洞的情況，我也是很無(wú)語(yǔ)。

被威脅的小七：2018年，在提交了某大廠的漏洞后，我接到了廠商的來電，他們不但不承認(rèn)這是一個(gè)漏洞，還威脅我，“如果將漏洞公開，你以后不好找工作吧?”，不承認(rèn)漏洞就算了，他們還威脅我!你敢信?

被“教育”的遠(yuǎn)海：在一周內(nèi)提交了某教育平臺(tái)的6個(gè)系統(tǒng)漏洞后，我被使用該教育平臺(tái)的廠商運(yùn)維人員“教育”了一頓。應(yīng)該是一下子提交了太多的漏洞，耽誤運(yùn)維人員下班了，所以當(dāng)時(shí)廠商的運(yùn)維人員還特地通過ID找到我，把我說了一頓。

被誤會(huì)可以選擇解釋、被“教育”可以選擇體諒、可是當(dāng)被“白嫖”和威脅時(shí)，白帽子也只能選擇自認(rèn)倒霉嗎?“是的，沒錯(cuò)，遇到了也就只能自己吃了這個(gè)虧，也沒有任何辦法，但是好在大多數(shù)正規(guī)的廠商，不會(huì)這樣對(duì)我們”，Balis0ng說道。

接受采訪的這四位白帽子，在向廠商提交漏洞時(shí)，均吃過不少“啞巴”虧，即使在廠商不愿意承認(rèn)他們提交的漏洞時(shí)，他們也從來沒有想過要私曝漏洞，究其原因，是他們對(duì)正義那顆初心的堅(jiān)守，也是因?yàn)樗麄兩钪@種行為不但會(huì)將本來有理的他們推向無(wú)理的邊緣，他們還要承擔(dān)被追究法律責(zé)任的風(fēng)險(xiǎn)。因此，要從根本上避免白帽子私曝漏洞事件的發(fā)生，除了法律法規(guī)的完善和普及，還需要各大廠商一同努力。

“隨著法規(guī)的完善和行業(yè)的成熟，我相信私曝漏洞的行為會(huì)越來越少”

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》規(guī)定，開展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)、風(fēng)險(xiǎn)評(píng)估等活動(dòng)，向社會(huì)發(fā)布系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息，應(yīng)當(dāng)遵守國(guó)家有關(guān)規(guī)定。隨著《網(wǎng)絡(luò)安全漏洞管理規(guī)定(征求意見稿)》的出臺(tái)，有關(guān)網(wǎng)絡(luò)安全從業(yè)人員的相關(guān)行為規(guī)定更加明確和細(xì)化：第三方組織或者個(gè)人不得在網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者和網(wǎng)絡(luò)運(yùn)營(yíng)者向社會(huì)或用戶發(fā)布漏洞修補(bǔ)或防范措施之前發(fā)布相關(guān)漏洞信息，不得發(fā)布和提供專門用于利用網(wǎng)絡(luò)產(chǎn)品、服務(wù)、系統(tǒng)漏洞從事危害網(wǎng)絡(luò)安全活動(dòng)的方法、程序和工具。一般情況下，發(fā)現(xiàn)漏洞后，第三方組織或者個(gè)人可以將相關(guān)漏洞報(bào)送給CNNVD或CNVD，CNNVD或CNVD將會(huì)在5個(gè)工作日內(nèi)予以確認(rèn)回復(fù)，并通知廠商在90/10天內(nèi)修復(fù)，廠商采取漏洞修補(bǔ)或防范措施后再予以公開。

《網(wǎng)絡(luò)安全漏洞管理規(guī)定(征求意見稿)》的發(fā)布，是為了規(guī)范網(wǎng)絡(luò)安全漏洞報(bào)告和信息發(fā)布行為，同時(shí)督促相關(guān)廠商、第三方及運(yùn)營(yíng)方及時(shí)應(yīng)對(duì)漏洞問題，這是在《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的基礎(chǔ)上，法制體系進(jìn)一步完善的體現(xiàn)。

“隨著該規(guī)定的出臺(tái)，能有效減少白帽子因?yàn)殪偶蓟蛘叻梢庾R(shí)不強(qiáng)而私曝漏洞的行為。”

接受采訪的四位白帽子均認(rèn)為，《網(wǎng)絡(luò)安全漏洞管理規(guī)定(征求意見稿)》能起到規(guī)范行業(yè)行為和保障行業(yè)健康發(fā)展的作用。

“從大學(xué)的硬性教育作為突破口，是一個(gè)不錯(cuò)的選擇。”

據(jù)遠(yuǎn)海透露，有關(guān)網(wǎng)絡(luò)安全法知識(shí)的課程，在他的學(xué)校目前是以選修網(wǎng)課的形式開展的，而那些沒有選修該課程的學(xué)生，可能對(duì)哪些行為會(huì)觸犯法律并不清晰，隨著我國(guó)網(wǎng)絡(luò)安全市場(chǎng)越發(fā)活躍以及相關(guān)法律法規(guī)陸續(xù)出臺(tái)，他認(rèn)為從大學(xué)的硬性教育作為突破口，是一個(gè)不錯(cuò)的選擇。

“建立漏洞仲裁機(jī)制，有助于減少白帽子和廠商之間的‘扯皮’事件。”

隨著騰訊、百度、阿里、華為、深信服、滴滴等各大廠商安全應(yīng)急響應(yīng)中心的機(jī)制日漸完善，越來越多的白帽子更傾向于向廠商直接提交漏洞，一是因?yàn)閺S商一般會(huì)優(yōu)先處理在自己平臺(tái)上提交的漏洞，二是因?yàn)橹苯酉驈S商提交漏洞，白帽子能獲得更多的回報(bào)。Balis0ng也談到：“現(xiàn)在各大廠商也越來越重視白帽子的貢獻(xiàn)，比如2020年，騰訊首次推出了百萬(wàn)獎(jiǎng)金池，單個(gè)漏洞額外獎(jiǎng)勵(lì)最高可達(dá)20萬(wàn)元;深信服前不久升級(jí)了獎(jiǎng)勵(lì)機(jī)制，單個(gè)漏洞稅后最高獎(jiǎng)勵(lì)金額有50萬(wàn)元;滴滴于2021年增加了年度獎(jiǎng)勵(lì)規(guī)范中獲獎(jiǎng)金的名額，年度排名第一的白帽子可獲得8萬(wàn)元獎(jiǎng)勵(lì)。”

“很多大廠還是很有誠(chéng)意的，其實(shí)我們也感受的到，所以我們現(xiàn)在也比較傾向于向廠商直接提交漏洞”，Balis0ng說道。但是直接向廠商提交漏洞，白帽子有時(shí)候也會(huì)面臨一些問題，比如當(dāng)廠商駁回漏洞時(shí)，白帽子就只能在“守法等于吃虧”和“暴洞等于犯法”之間選擇嗎?

Balis0ng認(rèn)為，如果可以在業(yè)內(nèi)建立漏洞仲裁機(jī)制，當(dāng)白帽子與廠商因?yàn)槁┒磋b定出現(xiàn)爭(zhēng)執(zhí)時(shí)，第三方機(jī)構(gòu)可以介入仲裁，那將能有效減少白帽子因?yàn)閺S商駁回漏洞而違法披露的行為。

總結(jié)

在網(wǎng)絡(luò)世界，如果說惡意黑客是矛，利用系統(tǒng)或軟件的漏洞，非法入侵并獲取利益，那白帽子就是盾，他們選擇用技術(shù)來保護(hù)網(wǎng)絡(luò)安全，他們需要比惡意黑客跑的更快，他們發(fā)現(xiàn)的漏洞越多，網(wǎng)絡(luò)世界也就更安全，但相比惡意黑客的“張揚(yáng)”，他們的事跡卻鮮有人知，他們更像是隱世高手，低調(diào)地大戰(zhàn)四方。雖然有時(shí)候他們會(huì)被誤解，有時(shí)候他們的付出沒有得到應(yīng)有的回報(bào)，但是他們還是堅(jiān)守了自己的初衷，做正義的事情。

接受采訪的四位白帽子均表示，隨著行業(yè)的發(fā)展和規(guī)范，目前白帽子群體遇到的一些困境都會(huì)得到有效的解決，同時(shí)他們也呼吁白帽子從保護(hù)自己的角度出發(fā)，依法披露漏洞，不要因?yàn)橐粫r(shí)氣憤讓自己面臨觸犯法律的風(fēng)險(xiǎn)并帶上“無(wú)理”的枷鎖。