每經(jīng)記者 岳琦    每經(jīng)實(shí)習(xí)記者 楊煜    每經(jīng)編輯 文多    

在網(wǎng)絡(luò)安全產(chǎn)業(yè)快速發(fā)展的背景下，與惡意利用系統(tǒng)漏洞搞破壞的駭客相對(duì)，有一群“白帽子”正在快速發(fā)展。

何謂“白帽子”？奇安信集團(tuán)副總裁、補(bǔ)天漏洞響應(yīng)平臺(tái)負(fù)責(zé)人張卓在接受《每日經(jīng)濟(jì)新聞》記者采訪時(shí)表示：“‘白帽子’基本都是走合法途徑去給企業(yè)報(bào)漏洞，不干黑產(chǎn)相關(guān)的事。”

9月17日，“2021補(bǔ)天白帽大會(huì)”在京召開。會(huì)上，張卓表示，“增長(zhǎng)”是白帽子行業(yè)發(fā)展的關(guān)鍵詞之一。“2018年補(bǔ)天漏洞平臺(tái)‘白帽子’數(shù)量（是）4萬(wàn)人，僅僅三年，2021年增長(zhǎng)到8.7萬(wàn)人，另外，‘白帽子’人數(shù)增速也在不斷提升。”

根據(jù)9月1號(hào)正式實(shí)施的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，“白帽子”一方面成為受到鼓勵(lì)的民間力量，另一方面也受到明確的約束與規(guī)定。那么，該規(guī)定的出臺(tái)會(huì)給“白帽子”帶來哪些影響？

奇安信集團(tuán)董事長(zhǎng)齊向東表示：“過去我們對(duì)漏洞挖掘的行為沒有進(jìn)行明確指引，‘白帽子’黑客百無禁忌。其中免不了有人會(huì)因?yàn)橥诼┒捶椒ú坏卯?dāng)觸犯法律，這種情況就相當(dāng)于迷霧中行走，不小心碰到高壓線，非常不利于民間‘白帽子’的成長(zhǎng)。漏洞管理規(guī)定將‘白帽子’的行為正當(dāng)化、合法化，給‘白帽子’提供了安全感。”

同時(shí)，張卓也直言：“從‘白帽子’從業(yè)時(shí)間來看，整個(gè)行業(yè)還是一個(gè)新興產(chǎn)業(yè)；‘白帽子’并不是都是干網(wǎng)絡(luò)安全的，而是來自于各行各業(yè)，其中學(xué)生居多。”根據(jù)補(bǔ)天漏洞響應(yīng)平臺(tái)發(fā)布的《中國(guó)白帽人才能力與發(fā)展?fàn)顩r調(diào)研報(bào)告》（以下簡(jiǎn)稱調(diào)研報(bào)告），僅有約26.4%的“白帽子”來自專業(yè)的網(wǎng)絡(luò)安全企業(yè)，學(xué)生群體占比則高達(dá)36.7%，是“白帽子”人才的首要來源。

在張卓看來，未來“白帽子”已經(jīng)有了成為正式職業(yè)的可能。

不過，目前國(guó)內(nèi)第三方漏洞響應(yīng)平臺(tái)施行的還是注冊(cè)制，如果“白帽子”職業(yè)化，注冊(cè)制是否要改成雇傭制？張卓對(duì)《每日經(jīng)濟(jì)新聞》記者表示：“不一定，比如家政、廚師等職業(yè)都不完全是雇傭制，但是職業(yè)資質(zhì)、考級(jí)、評(píng)級(jí)是有的。”

此外，調(diào)研報(bào)告顯示，“白帽子”發(fā)現(xiàn)安全漏洞后，有40.5%首選國(guó)內(nèi)第三方漏洞響應(yīng)平臺(tái)進(jìn)行提交，CNVD/CNNVD等國(guó)家漏洞響應(yīng)平臺(tái)排名第二，占比為33.3%，約有17.6%的“白帽子”會(huì)首選向企業(yè)自建SRC（安全應(yīng)急響應(yīng)中心）或通過企業(yè)官方渠道進(jìn)行提交。

張卓告訴記者，對(duì)“白帽子”來說，選擇平臺(tái)最關(guān)注兩點(diǎn)，一是獎(jiǎng)金金額，二是平臺(tái)本身的知名度和可信度。“可信度是什么意思？很多時(shí)候白帽子給企業(yè)報(bào)了個(gè)洞，企業(yè)就說這不是洞，但實(shí)際上它就是個(gè)洞，悄悄地修了，所以在信譽(yù)上是有問題的。第三方平臺(tái)是比較公允地去評(píng)價(jià)，不牽扯企業(yè)側(cè)的一些利益。”張卓介紹道。

張卓還表示，對(duì)企業(yè)來說，自建SRC成本較高，“第一要建平臺(tái)，第二要有維護(hù)的人、運(yùn)營(yíng)的人，有時(shí)候選擇第三方是個(gè)不錯(cuò)的選擇”。

封面圖片來源：攝圖網(wǎng)