補天漏洞平台掌門人白健：有關白帽子那些事

引子

總有人想從你身上得到一些東西。他們想得到你的名字、你的電話、你的住址、你的車牌、你的房產、你的社保號碼、你的愛好、你的消費記錄、你的GPS定位、你的戶籍信息、你的開房記錄、你的家人信息、你的所有歷史和你之所以成為你的全部密碼。

但是，他們想要了解你的一切，並不是出於好奇。你在他們眼中，只是一個符號。一個堆積起來可以換錢的冰冷籌碼。這些黑客們利用各種網站和系統的漏洞，從各個平台竊取用戶的信息，並且高價賣給詐騙分子和網路大盜。

正如小說中白衣如雪，來去如風的俠客一般，在我們身邊同樣存在一群這樣熱血涌動的人，他們不忍心看到這個世界沉淪，他們就是「白帽子」。

這些白帽子也許激情四射，也許木訥寡言，他們就像你我身邊那些普通的朋友，經歷著普通人的悲歡離合。只不過，在網路世界裡，他們像補天的女媧一樣，用一顆顆五彩石修復一座座賽博大廈的裂隙。

他們普通又神秘，他們低調又熱血。

漏洞平台，正是白帽子聚集的戰場。他們在這裡向企業提交漏洞，守衛互聯網的安全。這次硬創公開課，雷鋒網宅客頻道請到了補天漏洞平台掌門人白健、補天平台首席美女運營小花還有360企業安全市場部美女徐粲然，他們在一場顏值爆表的直播中為我們還原了真實的補天白帽子。

【小花、白健、徐粲然】

以下是直播文字要點整理：

我們為什麼需要白帽子？

白健：其實在我看來在目前整個體系建設不是特別健全的情況下，我們個人的信息安全、企業的信息安全甚至到國家的信息安全都會受到一些危害。我不知道大家有沒有關注2016年徐玉玉的案件。

徐玉玉的案件其實就是犯罪嫌疑人杜天禹利用某一個招生網站的漏洞拿到了一批高考學生的信息，然後又把信息賣給了另外一個犯罪嫌疑人陳文輝，陳文輝僱人假裝教育局的一些工作人員騙取了瞿玉僅有的9900塊錢學費和生活費，最後導致瞿玉這位同學傷心過度最後不幸去世了。

這件事情受到廣大網友的廣泛關注，案件很快偵破，整個事情也公布給全社會。通過這件事情我們可以切身感受到，在網路安全方面對個人信息安全的危害已經到了一個非常嚴重的地步。

說到企業安全上，美國的第二大保險公司 Allstate，它的三千萬的保民信息以及他的員工信息全部被人扒走，其實我覺得這不光是影響這家企業，影響到他的保民，甚至影響到美國對國家的一些公民信息，這種危害是非常嚴重的。

360 企業安全集團董事長齊向東曾重述了習主席的觀點：網路安全為人民，網路安全也得靠人民。那網路安全靠哪些人民呢？其實這個人民中就有一個特殊的群體我們俗稱白帽子，他們有機會有能力幫助大家來解決安全問題。

小花做補天的運營，她就跟白帽子這個群體關係非常好。所以接下來由你來介紹一下白帽子的情況。

白帽子是什麼樣子的？

小花：齊總給白帽子搖旗吶喊的講話在我的朋友圈已經被刷屏了，我特別為我的白帽子朋友們感到很有成就感。因為他們在做一件正義的事情，現在補天已經有 31154 名白帽子了，這個量是非常大的，他們已經維護了四千多家廠商的信息以及網路安全。

在補天有我三位關係特別好，我對他們也很了解的白帽子。總有很多圈外的朋友都在問我，「小花，什麼是白帽子啊？」我覺得我有必要說一下我這3位朋友神奇的故事。

其中一位叫華不再揚，他在深圳工作。當時《安在》發表了一篇有關華不再揚的報道，名字叫做《從鞋廠工人到漏洞達人，90後遊戲少年的逆襲》。他是一個特別靦腆的男孩，在我第一次見他的時候。但是，他給我們白帽子開講座講的議題特別的干，很多白帽子都在做筆記。後來跟隨著他的一些採訪，我發現他竟然是從小打遊戲的人。

他和他女朋友是大概網戀了5年，然後線下見面之後慢慢確立關係直到結婚，現在已經有了寶寶。

第二位叫做衰大。衰大是我在補天白帽子裡面比較欣賞的一類了，不是因為他的顏值，而是因為他很紳士。

我為什麼對他有這麼大的印象呢？是在去年4月9號，360 眾測發布會的時候，所有白帽子都背著一個雙肩包來，只有帥大一個人拎著一個行李廂，當時我還特別嫌棄，我說為什麼只有兩天你還拎一個大箱子過來呢？他打開裡面，都是給我們帶的新疆的切糕。那會兒新疆切糕非常貴的。他帶著一箱子的切糕還有大棗，還有葡萄乾，把我們感動壞了。我覺得這個人好有心，後來一接觸才發現他確實挺暖的。

還有一位白帽子hckmaple，雷鋒網《宅客頻道》對他做過專訪，前幾天很多人都在轉載他的故事。據我所知這個帖子發出去之後有很多男生問他聯繫方式的。

他是一個跨專業的人才。他的專業是硬體，但是他就選了做一個白帽子。他的故事特別熱血，有一段時間我找他聯繫，希望他給我們錄製一個課程。他說他在醫院，我就特別好奇，看著特彆強壯的一個人怎麼能去醫院呢？原來他是患了中耳炎複發然後去醫院診治，但是即使在那個時候，他的排名仍舊是補天的第二。

什麼樣的人能成為白帽子？

白健：hckmaple 是我們平台上少有的科班出身的白帽子。其實我們白帽子同學很多人都很單純也很優秀，但是有點遺憾的是很多同學的學習不是特別好，我覺得可能是我們的培養體制上不是特別的完善，很難兼容這部分人。所以我在這裡呼籲我們的教育體系能給白帽子更多的機會，這樣你才能不拘一格。另外，我們的企業在招聘的時候也不要把標準定的太高。

我昨天還看著朋友圈，有一個企業在招白帽子，限制的是一定要985、211的畢業生。這要求很高，我們白帽子沒有幾個能達到這個水平的，其實他們能力是很強的，所以我覺得一方面是我們的教育體系可能要對這部分人多一些，作為一個兼容性，有更多機會。另外，我也呼籲我們的企業在目前的環境下可以給白帽子更多的更寬鬆的一個工作環境。

和白帽子在一起時間久了，我確實切身地感受到大家都非常單純，也非常的具有正能量，也很有抱負。所以其實可以說每一個白帽子背後都是一段屌絲逆襲的故事，特別特別有趣。每一個白帽子也都希望自己從一個小人物成長為安全大人物，都有自己的夢想之路。我們做補天平台這個事兒也是希望給大家創造這麼一個環境和機會，實現夢想。

白帽子可以獲得什麼獎勵？

白健：對於白帽子來說，給企業提交漏洞有兩方面的收穫：

第一，安全能力得到體現和尊重。很多企業客戶對白帽子交上來的漏洞都表示非常感謝，甚至還有一個客戶很典型，他請了一個白帽子在上海一起吃了一頓。當然，有時候這種感謝白帽子是不敢接受的，以為是廠商要找他們麻煩。但其實我覺得特別多的企業已經認可白帽子的安全能力，也非常尊重他們。

第二，平台也給白帽子提供了很豐厚的價值。物質，或者直白一點說就是金錢的回報也非常重要。補天平台的獎金一直以來也是節節攀升，我們資深的白帽子在我們這兒也拿到了好幾十萬。

除了白帽子突出他的價值，得到我們獎金的回報以外，我們平台也給白帽子提供了很多的法律相關方面的知識，讓大家及時去提醒，哪些事情是符合我們的法律法規，哪些可能不太好的，這也是很重要的。

我們不能一味地單純地講究技術，還得看目前的社會法律這塊。我們需要用正確的價值觀和方法來幫助企業，幫助國家，來解決網路安全問題。

我們對大部分的企業服務都是免費的，補天平台承擔一些運營經費，幫企業免費提供漏洞。可能還有少量的企業需要更高端的一些服務，所以會收一些增值的費用來補貼補天的運營，但是補天的平台我們是不追求盈利的。公司也不要求我們賺錢，只是希望我們把這個公益的事情做的更長久些。另外一方面，其實我們也努力找更多的行業界的同仁我們一起來辦一個開放，大家互相合作的平台。白帽子的群體是可愛的一群年輕人。我們想把他們引導好、組織好，一起為網路安全、企業安全、國家安全做點事兒。

入駐補天的標準

白健：作為企業，只要免費在我們網站註冊一下，我們認證了網站所有者的身份就可以。你會發現如果網站有漏洞補天是免費推送的，這是一個最基礎的服務。如果大家想通過白帽子主動收集更多的漏洞，就需要承擔一些白帽子的獎金和稅費，我們平台不會額外收取其它費用。

在平台的信息安全方面，因為我們是 360 旗下的一個品牌，所以在安全防護上和 360 的要求是一致的。另外，我們做安全時的假設前提就是認為存在信息泄露的風險，所以我們在管理上面額外做了很多的要求。

首先，我們招聘員工時有很嚴格的要求，背景調查和工作領域等等。

其次，我們網站的後台只有在我們的內網才能訪問的。

再次，我們員工的電腦全部裝了終端管控軟體，並且全流量鏡像和分析網路流量。這樣就能有效地防止員工出現失誤導致信息泄露這種事情的發生。

另外，我們的漏洞審核也是分為幾層進行。一線員工審核完成之後，還有上級的複核，避免審核的差錯，例如漏洞分類、評級的差錯等等。

同時，我們還積極接受白帽子的追訴或者企業對漏洞再進行進一步的確認，多維度交叉核實。

RSA 上最新的安全趨勢

白健：在 RSA 安全大會上我和其他平台的同行做了一些交流。我總結了以下幾個收穫：

第一，我們得有自信。我們的漏洞平台，我們的白帽子群體不比西方國家運營能力差。

第二，我們還是要加強一些國際的合作，比如對一些通用型的漏洞我們可以建立一些通報機制來做一些修復。另外對於測試，我們也可以導入一些國際力量來做。同時我們也努力給核心的白帽子創造一些跟西方國家白帽子切磋交流的環境。比如 BlackHat 等會議，我們會組團和西方的隊伍進行演練。

第三，RSA今天的主題是「Power of OpportUNITY」，字面意思應該是機會的力量，但是它最後的「UNITY」是大寫的，也就是說這次會議想強調聯合。所以這也是我們這次去參會的一個原因，我們也希望聯合各方面，聯合國內同仁，聯合我們整個群體，甚至聯合國際一些國際的網路群眾體。

現在整個網路安全，我覺得國與國的邊界越來越模糊。根據我們 360 在 2016 年的網路安全的報告來看，2016 年中國網站遭受的攻擊中，百分之二十幾的比例是來自境外。另外，我們防護的網站中有30% 的境外網站也受到攻擊。所以這種邊界是越來越模糊的。

而且我們還同時看到，有一些不法分子利用自己的掌握的一些能力和技術潛藏在國外，反過來滲透我們的網站，做一些數據竊取、植入後門、敲詐勒索這樣一系列的事情。所以我們希望聯合國內外的所有力量一起來維護網路安全問題。這是我自己這次 RSA 的一些收穫。

徐粲然：說到合作，為了和全球白帽、技術精英一起交流，補天平台會在2017年3月30日在深圳舉辦首屆補天白帽大會。我們會邀請國內外知名白帽、技術精英、安全愛好者，與網路安全相關主管機構和知名企業和機構的CISO一起參與，解讀當前網路安全形勢和安全威脅，探討漏洞響應與防範方案，同時分享交流漏洞挖掘與安全功防等沿議題，到時候也歡迎大家來玩。

本期公開課完整視頻請戳這裡

本文由雷鋒網宅客頻道獨家首發（微信搜索：宅客頻道）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！