每經記者｜岳琦    每經實習記者｜楊煜    每經編輯｜文多    

在網絡安全產業(yè)快速發(fā)展的背景下，與惡意利用系統(tǒng)漏洞搞破壞的駭客相對，有一群“白帽子”正在快速發(fā)展。

何謂“白帽子”？奇安信集團副總裁、補天漏洞響應平臺負責人張卓在接受《每日經濟新聞》記者采訪時表示：“‘白帽子’基本都是走合法途徑去給企業(yè)報漏洞，不干黑產相關的事。”

9月17日，“2021補天白帽大會”在京召開。會上，張卓表示，“增長”是白帽子行業(yè)發(fā)展的關鍵詞之一。“2018年補天漏洞平臺‘白帽子’數量（是）4萬人，僅僅三年，2021年增長到8.7萬人，另外，‘白帽子’人數增速也在不斷提升。”

根據9月1號正式實施的《網絡產品安全漏洞管理規(guī)定》，“白帽子”一方面成為受到鼓勵的民間力量，另一方面也受到明確的約束與規(guī)定。那么，該規(guī)定的出臺會給“白帽子”帶來哪些影響？

奇安信集團董事長齊向東表示：“過去我們對漏洞挖掘的行為沒有進行明確指引，‘白帽子’黑客百無禁忌。其中免不了有人會因為挖漏洞方法不得當觸犯法律，這種情況就相當于迷霧中行走，不小心碰到高壓線，非常不利于民間‘白帽子’的成長。漏洞管理規(guī)定將‘白帽子’的行為正當化、合法化，給‘白帽子’提供了安全感。”

同時，張卓也直言：“從‘白帽子’從業(yè)時間來看，整個行業(yè)還是一個新興產業(yè)；‘白帽子’并不是都是干網絡安全的，而是來自于各行各業(yè)，其中學生居多。”根據補天漏洞響應平臺發(fā)布的《中國白帽人才能力與發(fā)展狀況調研報告》（以下簡稱調研報告），僅有約26.4%的“白帽子”來自專業(yè)的網絡安全企業(yè)，學生群體占比則高達36.7%，是“白帽子”人才的首要來源。

在張卓看來，未來“白帽子”已經有了成為正式職業(yè)的可能。

不過，目前國內第三方漏洞響應平臺施行的還是注冊制，如果“白帽子”職業(yè)化，注冊制是否要改成雇傭制？張卓對《每日經濟新聞》記者表示：“不一定，比如家政、廚師等職業(yè)都不完全是雇傭制，但是職業(yè)資質、考級、評級是有的。”

此外，調研報告顯示，“白帽子”發(fā)現安全漏洞后，有40.5%首選國內第三方漏洞響應平臺進行提交，CNVD/CNNVD等國家漏洞響應平臺排名第二，占比為33.3%，約有17.6%的“白帽子”會首選向企業(yè)自建SRC（安全應急響應中心）或通過企業(yè)官方渠道進行提交。

張卓告訴記者，對“白帽子”來說，選擇平臺最關注兩點，一是獎金金額，二是平臺本身的知名度和可信度。“可信度是什么意思？很多時候白帽子給企業(yè)報了個洞，企業(yè)就說這不是洞，但實際上它就是個洞，悄悄地修了，所以在信譽上是有問題的。第三方平臺是比較公允地去評價，不牽扯企業(yè)側的一些利益。”張卓介紹道。

張卓還表示，對企業(yè)來說，自建SRC成本較高，“第一要建平臺，第二要有維護的人、運營的人，有時候選擇第三方是個不錯的選擇”。

封面圖片來源：攝圖網