如何看待360補天漏洞響應平台做秀把美的的漏洞全部曝光的事情？

01-13

如何看待360補天漏洞響應平台做秀把美的的漏洞全部曝光的事情？

謝邀

事情已經平息

曝光的事兒吧，確實補天欠考慮了。以後以此為戒吧

作為一名白帽子還是希望踏踏實實，安安靜靜的提交漏洞，名利雙收！

如果一個漏洞收集平台，既不能給白帽子安全感，又不能給企業安全感，這與強盜有什麼區別？

補天把部分烏雲早就報過，廠商早就確認，而且早就已經修復的漏洞，一股腦的，跟補天上自己的漏洞做了個合集全部報了一遍。

評論區有人提醒，有些漏洞是一稿多投了。

然而，目前烏雲上廠商收到並處理的漏洞大概有一百多個，補天上只有幾十個，究竟哪邊是主流難道不是一目了然？

一個漏洞平台，在沒跟廠商溝通確認修復的情況下直接這樣張揚地爆漏洞，真的是對用戶負責的態度嗎？

為了出名啥都不顧了，360想做企業級市場，還是要好好學習怎麼尊重用戶，而不是動不動就勒索威脅。

看把人家甲方給折騰的：

利益相關：美的終端信息安全長期供應商

有趣啊有趣，我說你們僱傭水軍小號能不能稍微專業點？這不是三零用戶，這是八零用戶，還從來沒見過在知乎這麼沒有存在感的小號。

曾經和一位大型央企集團信息安全負責人聊天，

他門團隊負責集團所有子分公司的信息系統的安全測試，

某安全眾測平台報集團下屬公司系統漏洞時，

他的結論是這幫年輕人是無知者無畏。

怎麼這麼說呢？

第一，

平台報的漏洞他們早都發現了，

但解決問題不是那麼容易的，

這是需要一個過程的，

尤其是對於超大型企業。

第二，

掌握著國家命脈的企業，

信息系統漏洞如果一旦被利用，

可能產生不可預估的影響，

而毫無節制的向公眾曝光漏洞對企業安全毫無益處。

以上兩點是他的看法。

其實，

信息安全絕不僅僅是發現漏洞而已，

這位常年在甲方從事安全工作的老兵所說的令人深思。

我覺得，360總是那個作風，按他老總的話，要促使別人進步，促使別人去改變，不過這方法，總是讓人看不過去。

個人認為，在朋友圈內截圖發布整篇文章是對廠商的二次傷害，但是沒有「一次傷害」哪來二次？補天此次行為實在是對自己那個什麼「白帽行為準則」的打臉...白帽到底是什麼？不管哪個平台讓廠商接受自己的漏洞接受自己的安全現狀並去改變它，這個絕對是對的，但是不應該用這種兩敗俱傷的方式，既影響了企業本身的數據，也讓企業對「白帽」更加不能接納和認同（另外給烏雲說句話，301配圖據說來自友商盒子，到底誰第一時間拿這個在作si呢？）

原文縮略版附上：

原圖編輯為了看起來有段子和有趣，不過腦多想想就放出了大量美的信息的料。補天為了博眼球簡直沒下限！待甲方太不當一回事兒。做信息安全保護企業的私密信息是必須遵守的。其他平台起碼知道節操不能瞎掉，媒體做得好還得看別家。

360補天就是對標烏雲，就像哈佛H9對標漢蘭達一樣……只要是在補天曝光烏雲漏洞，馬上秒過而且100%有獎金……各種抄襲烏雲的模式（比如眾測）還打心眼裡看不起烏雲（去群里看看就知道了），據我所知，補天70%是一群小學生腳本小子……

曝光漏洞這事，這次補天的尺度有點大，有待改進，但就此上綱上線不應該；漏洞披露對安全行業是件好事，可以改變目前國內企業和機構對漏洞的態度，也可以幫助白帽子發揮自己的才能，其實補天、烏雲、漏洞盒子還有阿里那個什麼盾，本質上都一樣，運營機制也差不多，這樣的平台越來越多，對安全行業是一件好事。

看了一下評論，貌似是幾個平台之間的相互拆台，在相互炒作，實在看不慣國內這操行，不是想著把這個行業做好做大，而是相互挖空踩泥，所以讓外界看起來一地雞毛。

補天這次有炒作嫌疑，什麼盾的那幾位上躥下跳無非想趁低炒作做，下限比補天還低。

國內目前對安全還不重視，所以企業和機構的系統漏洞遍地都是，目前缺少的就是有能力、有質量的白帽子，應該有更多的平台出現，為白帽子提供空間，也帶動更多的人加入白帽子隊伍。

唯有時間，會說明一切。就像那大浪淘沙。

老老實實挖洞，經常發現很多漏洞廠商已經確認，而且都已經對公眾開放，但是漏洞還是存在，真不知道怎麼辦了。。。。

樓上要知道，301已經不在烏雲了。

你們吖又不是不知道我是全球出了名的流氓企業我怕誰！

如果一個漏洞收集平台，既不能給白帽子安全感，又不能給企業安全感，這與強盜有什麼區別？

我必須要贊一下這個回答！和我的想法一樣。

作為一個白帽子，看到這篇文章和95zz一樣，首先我想到的是提交漏洞的白帽子的安危，甚至我還慶幸過還好我沒在補天提交過美的的漏洞。

白帽子提交漏洞到平台，一般都需要簽署協議或遵守相關的行為規範。在補天的白帽子行為規範裡面就有這麼一條「不得利用補天漏洞響應平台進行任何可能對廠商、互聯網或移動網正常運轉造成不利影響的行為」（圍觀地址：白帽子行為規範）補天作為規則的制訂者，自己首先不遵守自己制定的規則，陷白帽子於不仁不義中，讓像95zz這樣的兄弟為自己的安危所擔心。簡直是沒有底限到了極致了。

再說這篇文章對企業的影響：

剛看到朋友圈在轉這個圖片的時候，除了擔心自己，第二反應就是本能心疼美的這個企業。補天發這篇文章的目的到底是什麼？刷存在感還是秀智商下限？如果真的像文中說的一樣，只想讓企業快點修復漏洞，有必要如此大張旗鼓，公開喊話嗎？漏洞細節被公開，引起了黑產關注怎麼辦？這些信息的公開，給企業和消費者帶來的損失遠比想像中嚴重。

綜上，補天太危險，沒底線，我是不會再去了。烏雲漏洞收集平台同理。

幾個眾測平台，烏雲眾測、漏洞盒子相對而言對隱私的保護會好一些。最近表現比較搶眼的是雲盾的先知計劃，白帽子圈裡口碑不錯，發獎金也十分爽快。

是不是應該考慮公開提交的所有漏洞的細節了？

不用再打著保護廠商的隱私的旗號了吧：) 逃。。。。。

漏洞盒子相比下還比較務實

這次補天披露美的漏洞，披露信息過多不嚴謹，不過事後秒刪避免了給美的造成傷害，但是什麼盾的幾位安全人員截屏後四處傳播，就有違安全行業的職業操守，一方面號稱自己保護用戶和白帽子隱私，而另一方面大肆傳播這些信息，無非想藉機炒作什麼盾。如果補天失誤是小錯，那麼什麼盾的那幾位惡意傳播就是大惡。

保護用戶和白帽子的隱私是所有漏洞披露平台應付的責任，也是安全行業的道德準則，這些隱私不僅包括自己平台上的，也包括整個行業的

1、請問題主，如何看待朋友圈或者微博中同學們（作秀）曬自己做的美食？

是不是覺得把「作秀」這兩個字放在題目中明顯是有意引導？

2、就題目中的圖片信息來看，所有敏感部分都打了馬賽克，注意保護用戶隱私，沒有問題。

3、補天這件事沒啥不對的，無非就是想提高下補天的知名度，引起企業對安全的重視，但是！！！被一小撮別有用心的人（正常商業競爭？）給放大、扭曲和曲解了。

題外話，在安全行業也算是做了小三年啦，行業內真是各種魚龍混雜，良莠不齊，真心希望能有一家良心企業做好、做大、做強。

shotgun真是玩的666，啟明星辰的大vp的竟然刪我小白用戶的評論。

其實這個事情廠商和平台都有責任，廠商對待安全的態度確實讓人捉急，看了烏雲上美的廠商的回復各種嘲諷白帽子，也是夠了，而且剛才看到美的去補天確認了漏洞，我就想問廠商，沒曝光之前幹嘛去了。對於補天，我感覺也是無奈之舉，不過做法是有點太過火了，估計不光會被美的說，背不住烏雲也會拿這個事來說事，至少在烏雲的群里已經看到烏雲眾測的楊蔚發的截圖，競爭對手也是不會放過補天的，哈哈哈，看你們撕逼吧，持續關注中

_@shotgun 為啥一定要說是補天的白帽子脫褲呢，你看到了？不要帶有有色眼鏡，一堆黑客對烏雲公開漏洞虎視眈眈，我很質疑你回答這個問題的立場，還有你的回答關閉評論幹什麼呢，心虛么，既然覺得自己很牛逼，說話就應該實事求是，建議相關平台對他的言行追求相關責任，截圖保留證據