開源的理念做安全：FreeBuf與HackerOne COO王寧對談安全眾測

今年二月份，全球最大的漏洞眾測平台HackerOne完成C輪4000萬美元融資。所謂的漏洞眾測平台，也就是嫁接白帽和企業之間的橋樑——現如今的安全問題僅寄希望於企業自身的安全團隊是不夠現實的，所以越來越多的企業期望尋求白帽的幫助——國外許多媒體將白帽稱為ethical hacker（道德的黑客），這群人通過為企業尋找漏洞並上報來獲得企業提供的報酬。

HackerOne的COO（首席運營官）兼CFO（首席財務官）王寧告訴我們，所謂的漏洞獎勵計劃（或稱漏洞賞金計劃，bug bounty program）是谷歌、微軟、Facebook這樣的大型科技企業最先提出的，「他們是安全眾測的創始者」。而更多的企業沒有成本和時間去維繫自己的眾測平台和白帽的運作。

HackerOne就是最早一批提供安全眾測外包的一家企業。

HackerOne COO王寧（左）與CEO Marten Mickos（右）

「很多大企業的安全隊伍會選擇自己建一個平台——平台當然可以簡單地去建，白帽也可以簡單地將漏洞上報給你，但是要把這個平台建得非常Sophisticated，建得好，還要將白帽管理好，就不是一件很容易的事情了。」

我們有機會採訪王寧女士是她前來拜訪FreeBuf期間，這是個談吐親和、大學之後就開始常年呆在美國、如今女兒都已經上大學的人。坐在王寧對面與她聊天不會有任何壓力，即便她相繼在北大拿到物理學學士、在加州大學伯克利分校拿到物理學博士學位，理應是個學者，卻依舊像是話家常的樣子。

大約是在美國呆的太久的關係，即便她在與我們的對談中極盡所能地在自己的語言組織里去找中文對應詞，許多辭彙最終也只能以英文表述，像是Sophisticated——這是個在安全行業內更多用來形容攻擊的詞，在這裡也的確更為精準。我從王寧身上理解的HackerOne，就是個具有開源精神、從各處汲取能量的企業。

安全眾測的普及「只是遲早的問題」

在HackerOne的C輪融資中，有個投資方是來自歐洲的風投基金EQT Ventures。這並不奇怪，因為HackerOne現如今在歐洲的業務亦正在擴張：前不久HackerOne宣布其歐洲客戶數量年同比增長240%，歐洲最大的航空公司漢莎航空、電信服務提供商瑞士電信、芬蘭保險業巨頭LocalTapiola現如今都是HackerOne的客戶。

即便目前安全眾測市場正有越來越多的競爭者加入，HackerOne都是目前全球盤子鋪得最大的安全眾測平台，其社區的白帽數量已經超過了10萬人。目前這家公司已經為全球超過800家企業機構解決了超過42000個安全漏洞。2016年在HackerOne平台發出的獎勵就有約690萬美元。其白帽獲取到的獎勵相較其他平台都明顯更多。

上個月Intel剛剛成為HackerOne的客戶，這家公司在HackerOne平台發布漏洞獎勵計劃，提供至多30000美元的獎勵。王寧笑著說：「所以我們現在可以告訴大家Intel是我們的客戶了。」

實際上Intel在大型科技企業中入主HackerOne的時間算是比較晚的，而且在HackerOne的歷史上更大牌的客戶還包括了美國國防部，Hack The Pentagon和Hack The Army項目去年基本上已經幫HackerOne賺足了名氣。

「後來我們拿到美國國防部的項目是需要招標的，大家去競爭最終看誰能拿下。」聊到和政府的合作時，王寧對國防部的工作態度很欣賞：「我們在和國防部合作之前，以為和政府做事會比較慢，或者比較官僚（cratic），其實這方面也會有些問題。但給我印象比較深的是，和我們合作的這些政府工作人員，他們很專業；而且標準設立地非常好，跟他們合作很舒服。

「他們周末也在工作發Email，這是我以前沒想過的。而且他們對於自己想要的結果、各種細節都很井然有序；他們提的各種要求也相當合理。所以從準備階段一直到最終，都讓我感覺是很好的經歷。

「而企業之間的差別則很大。有些大型企業懂得很多，我們不需要給太多支持。比如說Uber就是這樣的情況，他們的安全隊伍和CSO懂得本來就很多，所以我們只需要提供一些支持，需要去聽他們想要什麼和需求，我們是去實現這樣的需求。

「但有的大型企業本身並沒有搞眾測項目的經驗。所以在這種情況下，他們需要我們去分享怎麼開始、準備、制定範圍，制定獎金怎麼劃線，哪些內容需要付錢，哪些不需要，付多少錢。所以大企業之間，我們需要根據需求給予不同的支持力度。」

這些名氣響亮的科技企業尋求眾測實際上並不奇怪，以歐洲為例，一次入侵事件平均就需要耗費企業400萬歐元的成本投入。投入到眾測中去所需耗費的成本就低得多了。

「做過眾測的人都會認為效果非常好，成本投入比傳統安全投入要低得多：有人說是傳統安全投入10%的費用，也有人說是5%，就是10:1或者20:1的花費。如果你只是靠自己一個隊伍去找漏洞的話，這是不大現實的。我們平台上有十幾萬白帽，任何企業都不可能去招那麼多人為你去發現安全問題。而且黑客遍布世界各地，如果你真的想要走在他前面，就應該利用世界各地這些極有想像力、願意做好事的人幫你去找漏洞。」

全球最大色情網站Pornhub也是HackerOne的客戶

「所以我覺得只是一個遲早的問題。」王寧是指，這種與企業安全團隊形成互補的安全眾測模式的普及只是遲早問題。先前HackerOne CEO Marten Mickos在採訪中曾經提到過：

在攻擊者之前就發現軟體中的漏洞並實施修復，「最有效的方式就是漏洞獎勵計劃。漏洞獎勵計劃能夠發現所有類型的漏洞，而且比其他解決方案來得更快。」…「最大的優勢在於，你是按照結果來付費，而非工作量的多少。你只需要給白帽提交的有效漏洞付費。所以付的錢越多，就表明你收穫的越多。」…「對於許多惡意攻擊者來說，他們看到你在運營漏洞獎勵計劃，也可能會考慮去尋找更容易攻擊的目標。」

用開源精神來做安全

實際上Marten Mickos最知名的身份並不在其HackerOne CEO這個位置，他先前做了8年時間的MySQL AB公司CEO，有人評價他是繼Linux之父Linus Torvalds之後的又一民族英雄。王寧在採訪中告訴我們，作為全球最大的開源軟體之一，MySQL的這位前領導人一直都以開源精神在運營著HackerOne，這是個有趣的話題。

Mickos和王寧一樣並非安全出身，而且當年HackerOne公司在找Mickos出山的時候，Mickos一度是拒絕的。「我覺得我對安全沒什麼熱情。軟體安全行業如此過時、又不能創造生產力。」但HackerOne的幾名創始人最終打動了Mickos。「我看到了這樣一副圖景：安全是積極、有價值的事情，是開發部署軟體的組成部分。我也看到了出色的商業模型——一批最出色的安全專家幫助企業做得更安全，所以我就被賣了。」

王寧解釋自己加入HackerOne的原因時是這麼說的：「我在桉樹（Eucalyptus）的時候認識了我現在的老闆Marten Mickos，他當時是桉樹的CEO，現在是HackerOne的CEO。所以我去HackerOne的主要原因之一就是，我雖然不是安全出身的，但在我看來，安全是個有趣的方向。我跟Marten Mickos一起合作得也一直很默契，所以我也就加入了HackerOne。」

3月初FreeBuf在安全快訊中報道HackerOne開始為開源項目提供免費的漏洞賞金計劃Hacker Community Edition，開源項目只要滿足一些簡單的條件就能申請免費的漏洞賞金計劃，獎金則來自Internet Bug Bounty。而且申請加入該計劃，對於開源項目的普及程度是沒有要求的，包括Brave、GitLab、Ruby等都已經加入了Community Edition計劃。

「我們公司很多人對開源軟體都有特別的情節和想法，我們的CEO自己先前就是MySQL的CEO。開源是不同的人共同建立起來的，所以誰來找出漏洞、修復漏洞，這對所有人都是有必要的事情。HackerOne本身就鼓勵大家去做這件事，這對我們很重要。

「而且我們公司的員工，對開源非常有熱情。這個Community Edition本身並不是企業高層的決定，而是自下而上的：大家說我們要這麼做，我們才最終做了這麼個計劃。」

王寧的這番話在我們看來，這可能是HackerOne開源精神的部分展現罷了。Marten Mickos早前就提出過，「漏洞獎勵計劃與安全協同，相較傳統安全，就猶如開源相較於閉源。」這可能就是他的開源情節帶來的。

「我們以前會認為以隱秘的方式做事更能提升安全，但事實恰好相反。以前我們選擇一小波專家精英來解決安全問題，現在我們知道最好的幫助是企業組織之外的社區。以前我們認為安全有個『perimeter』，現在我們知道安全威脅是無處不在的，這種畫地為牢的安全是很低效的。」

「將開源軟體世界中誕生並實踐的模式應用到安全領域，是很自然的一件事。」「開源和HackerOne成功的核心都在於社區，企業組織之外有更多強有力的大腦，總比企業內部的要多。如果你能夠接納廣闊社區的集體智慧，你就會變得更強大，更具生產力。」

HackerOne眼中的白帽

類比開源項目，在安全領域所謂的社區就是由白帽組成的。白帽在許多國家的身份依舊尷尬，即便在美國都沒有非常健全的法律來保護白帽的利益，雖然這兩年有相關免責條款出現。不過在王寧看來，這對HackerOne而言根本就不是個問題，而白帽在HackerOne眼裡則是一群善良美好的傢伙。

「我們平台上的項目都是企業批准發起的，這不存在法律上的冒險問題。在此基礎上，你來幫我找漏洞，我要求你必須遵守這幾個準則，而且我告訴你只能在這幾個範圍里來找，不要到那些範圍里去找。這樣一來對挖洞行為進行規範化，一切都很清楚，白帽也知道要怎麼做，什麼能做什麼不能做。

「HackerOne也從來沒有遇到過白帽在這方面的法律問題。最近我們也在考慮，如果有一個白帽持有一個漏洞，想要給到廠商，但不知道怎麼取得聯繫，HackerOne作為一個平台能不能幫助將漏洞提交給廠商和企業。我們在考慮怎麼以這種方式，在完全符合法律的情況下去運營。」

談到許多惡意攻擊者會將漏洞掛到黑市上出售，獲取的報酬往往比企業自己給出的獎勵更多時，王寧相信「這個世界上絕大部分的白帽，他們都期望用合法的途經得到回報」。「我跟這些白帽聊的時候發現，雖然他們想得到更多的邀請，掙更多的獎金，但他們同時也普遍認為，很重要的一點是為系統安全作一定的貢獻。」

「這樣的人實際上是很多的。如果更多的企業能夠用眾測作為他們產品開發運營中的一個環節的話，給那些惡意黑客的機會也會越來越少。越來越多的白帽能夠率先發現這些漏洞，就能減少那些攻擊者的機會，形成良性循環。雖然不會完全沒有，但的確能夠減少。」

至於漏洞獎金的多少，「這些企業客戶，他們心裡很有數，一個漏洞對他們而言值多少錢；我們的白帽心裡也挺有數的。」總體上，「這是由市場決定的。」「在許多西方國家，很多白帽如果要靠漏洞獎勵來養活自己，可能還比較困難，但現在市場發展得很快，再過一兩年恐怕就可以了。」

但王寧同時又有個很有意思的觀點：「從我們這個平台的信息來看，某些國家的消費水平本身比較低。因為我們的獎勵並不會因為地區差異存在多寡，取得獎金的多少就只看漏洞質量。在某些消費水平沒那麼高的國家，我們平台上白帽的平均收入，實際跟全職——比如做開發的人已經差不太多了。」

Mickos先前在接受國外媒體採訪時則說過：「絕大部分黑客是因為熱情才去挖洞的，他們對於漏洞有無止盡的好奇心和能量。無論如何他們都想要這麼做。他們中的大部分都期望能往好的方向去做，很多人甚至可以免費為開源和非盈利項目挖洞。

「如同HackerOne為免費開源項目訂製的Community Edition，甚至在Mickos看來獎金對許多白帽而言都是沒大所謂的：「許多白帽說，如果是開源項目，我就願意免費挖洞。絕大部分人都很善良。」

「過去兩年中，在HackerOne平台上拿到最高獎金的白帽已經賺了超過60萬美元。有這樣的機會賺到錢，白帽就能夠投入更多的時間去磨練技能。這樣的模式也會變得更強大，對企業客戶而言也是好事。」

Mickos的這番描述實際上和王寧所說的良性循環大抵上是同一個意思，大約也是HackerOne對企業和白帽的理想狀態：企業和白帽都能過上幸福安全的生活。這大概也是安全眾測能夠達到的至上境界。

關於王寧

— 宇宙學、CTO、CFO、 COO 與安全—

HackerOne這家企業本身的源起已經被提得太多，幾位創始人的經曆本身就具備相當的偶然性。王寧和Marten Mickos一樣，都是後期被請到HackerOne做管理和策略的。

HackerOne在現如今的安全眾測領域真可謂風生水起。Mickos的開源背景自不必多說，王寧與HackerOne的氣質似乎本身就很契合，不僅是她在桉樹工作期間就對安全行業的青睞，用王寧自己的話來說，「我做的這些事一路走來，都是非常偶然的機會。」這讓我們對於王寧自己的過往相當感興趣，不止於她在對話中表現出來的禮貌和謙虛。

早在上世紀80年代，王寧就從鄭州以高分被北京大學物理系錄取，當年北大物理系只招5個人。那個時候恰逢文革後恢復高考，「政府本身就很推薦我們去學物理，是很偶然的機會，我就學了物理」，「此前我從沒想過能讀大學，那都是小說里才能看到的」。

大學畢業後，王寧前往加州大學伯克利分校花7年時間拿下了物理學博士學位。大約不像許多人期望實現遠大抱負那樣的念書目標，「我就是想看看自己行不行，就是證明自己不是那麼笨。」

「我當時做博士論文，就是為暗物質的理論之一做探測器——我找的就是Weakly Interacting Massive Particals粒子，去看看是不是能找到這樣的粒子。」

這對王寧而言是她擁有現如今這個位置的基礎。王寧的丈夫是個美國人，是個真正搞研究的物理學家，王寧的女兒今年就要上大學，也決定學物理。但她自己說：「我是很佩服我先生，他是很出色的物理學家，但我覺得我改行也真是改對了。」「離開物理學想去經商也是一種挑戰，總要給自己找些新的挑戰。」

「但物理教會了我怎麼去解決問題，可以是科研的問題，可以是Business問題，可以是任何問題。物理學讓我了解到，解決問題的時候最重要的不是你知道答案，而是能不能問出一個正確的問題。只要能夠問出正確的問題，很多專家都能幫你去找答案。」「我覺得物理給我打的基礎非常重要。」

在巴黎做了一年半的博士後以後，王寧一路異彩紛呈的職業生涯就開始了：她前後歷經6家創業公司，而每一家都位處不同的行業，比如現如今的HackerOne是安全、早前的CarParts是汽車、Lynda.com則為在線教育、桉樹（後被惠普收購）專註私有雲…王寧自己在不同企業扮演的角色也在CTO、CFO和COO之間來去切換。就像她說的，為了「挑戰」，安全只是其中的一種。

早前她在CarParts的時候，因為午飯時間很喜歡與產品聊天，所以做產品的同事有了新的設計和想法都會與她溝通；乃至此後公司CEO有工程、IT方面大的決策時都會與王寧商量，所以很快王寧成為CarParts的CTO。

「我當時還跟老闆說，我不要做CTO，因為我早前就已經離開技術物理方面，我要往商業方面發展。」

但在成為CTO之後，王寧開始真正了解如何去構建一套系統，以及如何對企業本身的業務產生影響。到Bargain Network公司則是因為當時這家公司正在招CTO，起初幫助企業做產品開發；不久這家公司的CFO開始融資，「他知道我在麥肯錫工作過，所以就讓我幫忙寫Finance相關的內容」，寫了一周之後，「他就開始勸我搞財務」。王寧於此從CTO走到了CFO的位置。

所以王寧現如今也是HackerOne的CFO，這是基礎。「CFO需要和CEO合作，跟公司每個崗位的人合作，去影響對公司的運營、市場、銷售，這讓我認識到哪些對公司是最重要的。」往後過渡至COO，是「想要得到更好的結果的話，不光只看財務，要看運營。要知道什麼樣的KPI是最重要的，如何去影響KPI——如果這些KPI是正確的，能夠得到更好的結果，那麼財務數據會更好看。CFO要得到好的結果，需要跟運營結合在一起。」

「這些都很偶然。」

「我能做到今天這樣實際上是很幸運的，很多人一路上給了我很多機會。」

「我希望自己能夠不斷更新。」

現如今的王寧在HackerOne負責財務、HR、法律、客戶運營、白帽運營等相關工作。這會在很長一段時間內成為王寧自己的「挑戰」。或許王寧的這些經歷，無論是物理學，還是在各領域的工作經驗都能夠為安全眾測帶來不同的思考方式，畢竟她在這個崗位也不過一年半的時間。

「安全眾測現如今的發展階段，我覺得還是很初期。現在很多企業做安全，都是為了合規（compliance）才去做的，而不是真的為了產品，這樣的做法未必能夠給產品帶來更好的安全性。等到compiance也需要大家來做眾測了，那個時候就是眾測真正普及了，我覺得我們可能還需要幾年時間，但速度在加快。」這是王寧眼中安全眾測的未來。

* 本文作者：歐陽洋蔥，FreeBuf官方出品，未經許可禁止轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！