SRC部落『掌門人』張雅弛 談她眼中的白帽子

由於工作的性質，張雅弛經常混跡在白帽子群體中，也和很多互聯網安全公司部門和安全企業打過交道，還學習了國內外一流安全法律......這些工作閱歷，讓她對於網路安全行業和白帽子群體有著自己獨到的看法。/

就像世界上存在著黑和白，hacker的群體也分裂成白帽子和黑帽子。黑帽子自然不用說，而就像這世上很多的白和黑、好和壞的界限不那麼明顯一樣，很多人對白帽子的態度也各自不同。在以前的相當長一段時間，他們掙扎在理想和現實的邊緣，更多的時候，充當著互聯網世界的「守護者」，為網路的安全貢獻著自己的力量。

「師克在和不在眾，行軍打仗不在於人多勢眾，而在於求和的過程，在我看來，網路安全就是在尋求和的過程中。」 在i春秋學院運營SRC部落的美女運營張雅弛在阿里安全峰會上說。

SRC部落運營總監張雅弛

出身文科的雅弛，謙虛地稱自己為「安全麻瓜「，由於工作的性質，她經常混跡在白帽子群體中，也和很多互聯網安全公司部門和安全企業打過交道，還學習了國內外一流安全法律......這些工作閱歷，讓她對於網路安全行業和白帽子群體有著自己獨到的看法。在她演講完之後，天極網採訪了雅弛，在會場旁邊的咖啡廳聊了一個小時左右。

1、天平的兩端：安全和自由

「這是最好的時代，也是最壞的時代。」雅弛說。她認為，在國家政策推進下，整個網路安全行業是一個無限的藍海景象，但也有很多亟待被解決的灰色地帶和敏感領域。前輩們已經開闢了安全的新大陸，正是安全從業者需要開拓和參與的時代。這個時代要怎麼被開拓？「我想是通過三方求和達成的，通過國家、企業和公民，通過這三方的求和達成的。」之後，她講了三個有關於她口中「求和」的故事，很發人深省：

第一個是國家和企業在安全上達成最初的求和。最早追溯到1995年，那時候互聯網迅猛發展，一些黃色、暴力信息充斥在網上，美國國會為了加強對信息的監管起草了CDA法案，這個草案在後續的幾年中被美國最高法院不斷的駁斥，但其中有一條是很少被駁斥也是最重要的一部分，就是第230條--網路供應商可以不被當做內容的發布者來對待。這是國家對於大型互聯網公司達成的一個最早的求和，以人為鑒、以史為鑒，安全和自由是天平的兩端，國家充當的就是一個維穩者，既需要創造有序的互聯網環境，同時也需要把這個天平向大型企業傾斜，給他們打造一方可以暴風發展的凈土。

第二個是國家和公民間的「求和」。美國的女律師詹妮弗，是斯坦福大學網路與社會公民自由研究所的負責人，她曾經為加州監獄的犯人做過辯護，這個犯人改寫了自己付費電話的程序，來使他的獄友免費和家人通話，後來被獄方知道了要問責他，這個事件在美國引起了很大的討論。這個女律師無償為這個白帽子辯護，說應該通過規則去鼓勵有能力的人，讓他們把能力用在適當的地方，安全的重心不應該放在懲罰上，這也是國家和公民求和的關鍵所在。

第三個例子是企業和公民之間的「求和」。企業創造產品是為了實現用戶價值，從而實現商業價值，但選擇是雙向的，用戶有權挑選他們喜歡的產品，但如果這個產品不能滿足我的需求，我有沒有權利優化它？改造它？從歷史發展的眼光上來看，很多卓越的產品(例如iPhone)都是通過規則的挑戰者來破壞規則，衝破邊界，挑戰權利而創造出來的。這也就是近兩年被廣泛探討的問題--版權問題。作為用戶，擁有產品的使用權，是否擁有對這個產品改造的權利？它的邊界又是什麼？

2、「不同意你破壞規則，但願意捍衛你善良的創造力」

雅弛回憶起最初和SRC交流的時候，他們想要建立一個白帽子的黑名單，也就是什麼樣的白帽子會涉灰、涉黑，但是，通過這樣拉黑名單或者懲罰的機制，並不能根本解決安全的問題，一旦被拉進黑名單，白帽子很可能再換一個身份、換一個網站來攻擊你，「我們想站在白帽子身邊，通過價值觀來疏導白帽子，引導他們對於正確的事物保持敬畏之心。走上安全的崗位，可以不涉灰、不涉黑也可以獲得利益和價值。」

雅弛認為，白帽子擁有可以改造網路世界的洪荒之力，但也可以去破壞這個世界。企業背負著社會價值和安全責任，安全也需要通過規則來約束，需要擁抱法律、擁抱國家政策。

在《網路安全法》剛剛實施的時候，i春秋進行解讀並放到網上供白帽子學習。「和白帽子的接觸我很了解，很多時候並不是說他們想要破壞規則，而是他們不知道邊界在哪裡。」

2016年9月，」SRC部落「正式上線，是雅弛帶領的團隊的求和之路。「我們希望建立國家、企業和公民白帽子之間的紐帶。而i春秋有50萬註冊用戶，這些用戶裡面有信息安全的愛好者、從業者和學習者，引導他們把力量用在正確的地方，就變成了SRC部落的使命所在，我們希望白帽子在i春秋平台學習知識，通過網路安全競賽增長技能，從而被塑造成全方位、立體的安全人才，最終輸送到企業去體現更大的社會價值，形成安全人才生態的閉環。」自從SRC部落上線之後，截至到採訪時，已經有49家國內的SRC，一家海外的SRC參與進來。

從去年9月到現在，雅弛運營的SRC部落做了很多努力，也做了很多事情，例如，今年4月份，做了首次嘗試，聯合同程SRC發布了任務，為同程輸送了很多有技能的白帽子，在7月，又和百度安全BSRC舉辦「漏洞巡緝」計劃，第一個提交嚴重漏洞的白帽子可以跟隨百度，參加美國DEF CON 25 & Black Hat 2017。

3、從「雙低」走向「雙高」

雖然混安全圈的時間不算長，但雅弛說，她的「安全的三觀」被顛覆了，以前覺得白帽子學歷都比較低、年齡比較小，大家都覺得自己的技能比較厲害，因為沒有正規的書本可以告訴一個安全的負責人他是怎麼成長起來的，所以對於白帽子，懷抱著神秘感和距離感，是一個很複雜的情感，在i春秋的工作經歷，使她發現，現在的時代和之前前輩傳授的經驗是不同的。「4月我們做的一個白帽子互動，給同程輸送了很多白帽子，有一個大三的學生，是物理專業的，他因為之前看上了一個禮品商城的烤箱，非常想要這個烤箱，在此之前沒有系統學習過怎樣去提交漏洞，也算是機緣巧合，他是i春秋的用戶，看到我們的活動來參加，就得了第一名。」

總之，如果說以前的白帽子大多數是低齡、低學歷的少年黑客，現在已經完全不一樣了，超高學歷、雙商很高，已經從匪軍變成了正規軍，也越來越「可怕」了。

她還透露，可能多數人並不知道，中國的白帽子在世界範圍內的安全圈做了很大的努力，例如，微軟每年的漏洞提交情況有三分之一是來自中國的白帽子。可能很多人跟我一樣，經常能看到媒體的報道，「XXX白帽子提交漏洞拿獎金，從而發家致富、走向人生巔峰」的故事。在雅弛看來，SRC廠商之間也有攀比的情況，漏洞分為：嚴重、高危、中危、低危，漏洞本身的評級相對固定，但如果是針對核心產品，廠商會提高獎勵倍數，鼓勵白帽子來自己的平台挖漏洞，一個嚴重的漏洞，市面上摺合人民幣是600—8000不等，拿到的獎金不一定能在北京二環買房，但提交漏洞，解放自己不用上班、過上美好生活是沒有問題的。比如百度「漏洞巡緝」，嚴重漏洞最高可以乘以六倍積分，這還不包括其對高質量漏洞的月評，有2萬到10萬的現金獎勵，白帽子可以通過增長積分的方式，獲得非常不錯的收入。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！