补天漏洞平台掌门人白健：有关白帽子那些事 | 硬创公开课

我们对大部分的企业服务都是免费的，补天平台承担一些运营经费，帮企业免费提供漏洞。可能还有少量的企业需要更高端的一些服务，所以会收一些增值的费用来补贴补天的运营，但是补天的平台我们是不追求盈利的。公司也不要求我们赚钱，只是希望我们把这个公益的事情做的更长久些。另外一方面，其实我们也努力找更多的行业界的同仁我们一起来办一个开放，大家互相合作的平台。白帽子的群体是可爱的一群年轻人。我们想把他们引导好、组织好，一起为网络安全、企业安全、国家安全做点事儿。

白健：作为企业，只要免费在我们网站注册一下，我们认证了网站所有者的身份就可以。你会发现如果网站有漏洞补天是免费推送的，这是一个最基础的服务。如果大家想通过白帽子主动收集更多的漏洞，就需要承担一些白帽子的奖金和税费，我们平台不会额外收取其它费用。

在平台的信息安全方面，因为我们是 360 旗下的一个品牌，所以在安全防护上和 360 的要求是一致的。另外，我们做安全时的假设前提就是认为存在信息泄露的风险，所以我们在管理上面额外做了很多的要求。

首先，我们招聘员工时有很严格的要求，背景调查和工作领域等等。

其次，我们网站的后台只有在我们的内网才能访问的。

再次，我们员工的电脑全部装了终端管控软件，并且全流量镜像和分析网络流量。这样就能有效地防止员工出现失误导致信息泄露这种事情的发生。

另外，我们的漏洞审核也是分为几层进行。一线员工审核完成之后，还有上级的复核，避免审核的差错，例如漏洞分类、评级的差错等等。

同时，我们还积极接受白帽子的追诉或者企业对漏洞再进行进一步的确认，多维度交叉核实。

白健：在 RSA 安全大会上我和其他平台的同行做了一些交流。我总结了以下几个收获：

第一，我们得有自信。我们的漏洞平台，我们的白帽子群体不比西方国家运营能力差。

第二，我们还是要加强一些国际的合作，比如对一些通用型的漏洞我们可以建立一些通报机制来做一些修复。另外对于测试，我们也可以导入一些国际力量来做。同时我们也努力给核心的白帽子创造一些跟西方国家白帽子切磋交流的环境。比如 BlackHat 等会议，我们会组团和西方的队伍进行演练。

第三，RSA今天的主题是“Power of OpportUNITY”，字面意思应该是机会的力量，但是它最后的“UNITY”是大写的，也就是说这次会议想强调联合。所以这也是我们这次去参会的一个原因，我们也希望联合各方面，联合国内同仁，联合我们整个群体，甚至联合国际一些国际的网络群众体。

现在整个网络安全，我觉得国与国的边界越来越模糊。根据我们 360 在 2016 年的网络安全的报告来看，2016 年中国网站遭受的攻击中，百分之二十几的比例是来自境外。另外，我们防护的网站中有30% 的境外网站也受到攻击。所以这种边界是越来越模糊的。

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!