补天漏洞平台：让更多的白帽子脱离黑产

4月9日，记者终于有机会见到了补天平台上贡献排名第一的a0。在360补天平台的颁奖台上，显得有些腼腆，谈获奖感言的时候也有一丝哽咽。但谁曾想，正是这位不太善于言表的年轻人，在补天平台累计提交有效漏洞929个，精品漏洞171个，其中既有涉及各大运营商而导致上亿用户信息泄露的漏洞，也有可泄露几千万居民信息的社保系统网站漏洞，可谓真正的“漏洞挖掘之王”。

和a0同样身份的白帽子，在补天平台有20000多名。截至2015年11月18日，补天平台收录的网站漏洞中，共有1410个漏洞可能造成个人信息泄露，可能泄露的个人信息量高达55.3亿条。他们用技术捍卫了上亿人的信息安全。

可能有人会有这样的疑问：一个漏洞价值几何？此前有媒体报道，包括谷歌、脸谱和Mozilla，都提供价值数千至上万美元的“漏洞赏金”计划，以鼓励外部的破解高手寻找企业的漏洞。但是，网络黑市的买主却能拿出10倍甚至更高的价格购买这些漏洞。一旦这些漏洞被“黑色产业”利用，轻则泄露个人或企业机密信息，对企业生产经营造成重大损失，严重的可能涉及国家安全，后果难以想象。

以往，白帽子通过第三方平台将漏洞提交给企业后，由于沟通过程周转繁琐，往往需要数天。由此造成在漏洞获得企业修复前被二次利用，导致大批用户信息泄露，企业网络多次遭到攻击。另外，白帽子为中国网络安全立下了汗马功劳，然而触碰红线的事情却时有发生。一直以来，法律红线问题都是悬在白帽子们头上的一把利剑。

补天漏洞平台负责人林伟表示，补天漏洞平台一直致力于做白帽子的精神家园，帮助更多的白帽子脱离黑产，用他们的技术能力为国家网络安全作出贡献。一方面，补天平台通过举办法律培训帮助白帽子普及法律常识，树立法律意识；另一方面，补天平台依靠丰富的奖金机制为白帽子漏洞挖掘提供物质支持。林伟表示，补天平台是360互联网安全创新中心旗下一支安全研究团队，也是国内首个现金奖励漏洞平台，就是要在厂商和白帽子之间建立起一个沟通桥梁。补天将争取发放更多的奖金，与更多的厂商合作，构建更加安全的网络环境。

与此同时，补天平台还首次推出面对广大企业用户的补天众测服务。据了解，“补天众测”是补天漏洞响应平台为企业量身打造的安全测试服务，将针对互联网厂商、金融行业厂商、软件外包厂商、智能硬件厂商等关注安全的厂商提供安全众测服务。补天众测可以针对网站、APP客户端、内网、硬件等特定系统进行漏洞监测，针对性更强，监测效果也更加深入。

本文转自d1net（转载）