如何看待國內SRC紛紛上線「白帽子協議」？

01-20

最近國內19家SRC（網路安全應急響應中心）上線「白帽子」協議，要求白帽子同意協議後方可進行挖漏洞，這件事對國內信息安全行業的發展有哪些正面和反面的作用？你如何看待這件事？

作為白帽子，我認為雖然這個協議限制了超出正常檢測範圍的行為，但這個協議很重要的一點是對正常的白帽子行為進行了授權。也就是說，如果我的目標是幫助企業發現安全問題，提交後換取我認可的獎勵，在這個範疇內我不用在擔心未授權檢測帶來的麻煩，只是我的行為要更謹慎一些，不能有一些超出正常範圍的操作，在挖漏洞時也要考慮一些檢測手段是否會給企業業務造成影響。

作為曾經烏雲的工作人員，我非常明確烏雲並不是不會限制白帽子，烏雲鼓勵白帽子提交漏洞但並不是縱容白帽子，烏雲的所有行為也都是在保證不影響廠商的正常業務，也會要求白帽子挖掘漏洞過程中不允許有過分的行為，烏雲只是在做法上選擇了積極地引導白帽子而不是把這些都整理成協議。烏雲選擇的積極引導的方式讓人感受更友好，但是，2017年6月1日之後網路安全法正式實施，這種友好的方式是否還可行，我覺得是待商榷的。

作為甲方SRC的工作人員，看到這個問題下大部分人都覺得SRC和白帽子是對立的，感覺自己工作還得努力努力再努力，要努力消除這種誤會呀。SRC從來沒有否定白帽子的貢獻，就算是我們內部交流涉及與白帽子相關的事，對白帽子也都是很尊重的。

上線白帽子協議的契機是網路安全法正式實施，網路安全法中有這樣一個條例：

第二十七條 任何個人和組織不得從事非法侵入他人網路、干擾他人網路正常功能、竊取網路數據等危害網路安全的活動；不得提供專門用於從事侵入網路、干擾網路正常功能及防護措施、竊取網路數據等危害網路安全活動的程序、工具；明知他人從事危害網路安全的活動的，不得為其提供技術支持、廣告推廣、支付結算等幫助。

白帽子協議中的授權條款，也是為了讓白帽子放心。再說到大家說到的限制了白帽子行為，我覺得只要是沒有壞心思的白帽子完全沒必要擔心這一點，和往常一樣，找到漏洞，在不對企業造成影響的程度內進行測試，然後提交漏洞。

可能大家看到多是白帽子和SRC之間因為分歧爭論，沒有看到SRC為了白帽子向公司爭取資源，為了保護白帽子和其他部門爭論。

所以希望白帽子和企業之間，多一些理解，共同做好網路安全。

最後，謝謝謝幺邀請（我真的沒有在說繞口令

2017年6月1日21:21分

某監獄裡，對話如下：

犯人A:你們都是怎麼來的？

犯人B:我是XX漏洞平台挖漏洞不小心進來的。

犯人C:我是XX平台路人甲，輸錯命令了rm -rf / （批量刪除）

犯人D:我是某測評中心的忘了要授權了……

犯人E:我。。。就是那個在群里成天陪你們吹牛逼斗圖的HELLEN啊！

犯人F:這下齊了，到底誰黑的我網站我不打死你，我是那個管理員站長。

……………………

黑客技術哪家強？中國監獄是天堂!

____

沒錯，以上只是個段子。但是在6月1日那天，這條段子在安全圈的微信群里傳得很廣，因為那天《網路安全法》正式實施。

雖然安全圈裡不少人都挺有自嘲精神的，但這些自黑的段子，明顯也透露出几絲擔憂，像是一段對白

「嘿，老鐵，知道你沒毛病，也沒有壞心思，可好心辦壞事的情況也不是沒發生過。要是一不留神就犯了法進去了，那就太冤了。多注意點吧！」

這種擔憂並不是沒依據的。提兩個真事。

一個是去年鬧得沸沸揚揚的「袁煒事件」

2015年底，烏雲漏洞平台的白帽子袁煒提交了一個世紀佳緣的安全漏洞，世紀佳緣確認並修補了這個漏洞，同時在烏雲網上對白帽子表示致謝。但事後他們統計發現，有900多條有效數據被攻擊者獲取。

出於對信息安全的擔憂，世紀佳緣選擇了報警。警方調查後才發現只有袁煒一個人涉嫌此案。最後袁煒被檢察院公訴，2016年4月被批准逮捕。

事件一出，整個安全圈都炸開鍋了。隨之而來的是各方對於白帽子行為邊界的深刻討論。

第二件事就發生在最近，不過沒有上一個那麼「刺激」。

6月1日，某知名互聯網公司的安全應急響應中心（以下簡稱「SRC」）發布了一篇公告，指出其平台上有白帽子不遵守平台漏洞測試原則，在未經他們授權的情況下擅自公開披露了一例漏洞細節。最後的結果是取消了該白帽子提交該漏洞的獎勵。

公告一出，也是眾說紛紜。有人覺得專挑《網路安全法》實施當天發公告，言辭還挺激烈，這是示威啊！也有人覺得這沒毛病，就得按照法律和規則來，凡事講道理嘛；

當事人白帽子也在其博客里指出，該SRC在發出公告之前，曾經在沒通知的情況下，凍結了他賬戶下的所有漏洞獎勵積分（包括之前挖漏洞的獎勵），導致他無法兌換獎品。

雖然錢是小，但是讓人很不爽啊！（還發了公告）

▲ 圖片來自當事人白帽子的博文

這兩件事其實是企業和白帽子的矛盾關係在極端場景下的激活和爆發。什麼矛盾呢？「又愛又怕」的矛盾。

企業對白帽子是又愛又怕的。

他們愛白帽子，因為後者能為幫他們發現不少安全漏洞，有時還給出修復方案，維護了他們的業務穩定；但他們又怕白帽子「放蕩不羈愛自由」，懶得看法律條文和平台，按自己的行事邏輯辦事。也怕白帽子因為對法律的不了解做出一些有爭議的事。還怕有黑產分子假借白帽子的名義，傷了雙方的感情，還敗壞了白帽子的名聲。

白帽子對企業也是又愛又怕。

他們喜歡挖漏洞帶來的回饋，不僅包括物質上的禮物、獎金，更有精神上的鼓勵——自己的ID出現在感謝名單上的自豪、組隊挖漏洞帶來的好基友和技術討論氛圍；同時他們也怕自己一不小心就背了鍋，對方發來感謝並逮捕了自己，也怕自己的漏洞得不到認可。

好，那有沒有辦法讓這種微妙的關係達到某種平衡，形成一種默契呢？將「怕」的那一部分盡量降低，減少大家的顧慮和畏懼呢？

其實各家企業的SRC和漏洞平台都在努力尋找這個答案。最終，他們選了一個還不錯的解決方案：規則。

於是他們推出「白帽子協議」。

6月1日那天，超過19家企業的SRC組成了「SRC聯盟」共同上線了「白帽子協議。有這些平台：

360安全應急響應中心、愛奇藝安全應急響應中心、滴滴出行安全應急響應中心、餓了么安全應急響應中心、京東安全應急響應中心、競技世界安全應急響應中心、聯想安全應急響應中心、美麗聯合集團安全應急響應中心、陌陌安全應急響應中心、同程安全應急響應中心、途牛安全應急響應中心、網易安全應急響應中心、小米安全中心，攜程安全應急響應中心、微博安全應急響應中心、宜人貸安全應急響應中心、豬八戒網安全應急響應中心、補天漏洞響應平台……

白帽子協議是什麼？

我的理解，白帽子協議就像一個企業和白帽子之間的約定。

哪些事能幹，哪些不能幹，哪些需要提前打個招呼，咱提前都先交代好，簽個協議點個「同意」，雙方達成一致覺得沒問題了，然後就可以繼續開心地挖漏洞、刷榜和拿獎勵了。

之後的相關情況都有限按照之前約定好的來，這樣大家都服氣。沒什麼爭執，也不容易出問題。

▲ 京東JSRC 的白帽子協議頁面截圖

畫外音：擦，這麼多規矩，條條框框，不是讓我們白帽子挖漏洞捆手捆腳了嗎？

還真不是。我做個類比：

《網路安全法》制定之後，一開始也有不少人擔心，覺得這會讓安全從業者的活動空間越來越小，捆手捆腳。可後來人們發現，誒？長遠看來，制定了規則，明確了邊界反而讓人更能安心來做事，知道底線和邊界在哪，反倒能在邊界之內放開手腳去干，不必畏首畏尾。

同樣，漏洞平台和企業SRC也為白帽子制定「白帽子協議」，確定各自平台的規則和邊界。這讓白帽子也會心裡有底，知道自己的權利和義務，可以在規則之下放開手腳，而不會迷迷糊糊做事，莫名其妙就出現了分歧和誤會。

當然，如果白帽子不同意某個平台的協議，雙方沒有達成一致，那就乾脆不要開始，這家不行就換別家挖嘛，至少不會出現撕逼和誤會。

提前交代好權利義務和利害關係，對雙方都是一種保護。

又來一個畫外音：SRC 非要同意協議才讓挖漏洞，他們不怕這樣弄得白帽子都「不敢」或者「不願意」去幫他們挖漏洞了嗎？

我把這個問題問了此次」白帽子協議「主導者之一京東JSRC的老大李學慶，他的回答原話是這樣的：

這個問題我之前考慮過，也擔憂過，但是我覺得讓白帽子知道條款中的內容比擔心白帽子不來我們平台挖漏洞更重要。

我不希望白帽子由於不知道條款中的內容，不知道網路安全法的嚴肅性而不小心給他們自己帶來麻煩。

李學慶告訴我，當他們把「白帽子協議」以及網路安全普法的想法告訴陌陌等其他 SRC 的運營團隊時才發現，大家原來都想到一塊兒去了，各家 SRC 大多都有類似的想法。

一拍即合，最後居然有 19家 SRC 願意一起做。此外還有其他SRC有類似的活動計劃，只是因為節奏不一致所以很遺憾地沒能一起來做。

宅客發現，前文提到的6月1日發公告「懟」了白帽子的那家SRC也在其中。（好吧其實就是網易 SRC ，不匿了）

從宅客的角度來看這個問題，無論是當事人白帽子在其博客公開把這件事的事前因後果說出來也好，網易 SRC 公開發布聲明也好。

與其私底下解決，最後相互猜忌懷疑，不如像他們這樣大大方方把事情擺在明面上來說。雖然這可能給人留下強勢的印象，但至少能讓其他白帽子知道他的原則和底線。

就像交朋友，脾氣沖，但心直口快的人，可能一開始給人留下「強勢」、「裝逼」、「暴脾氣」的印象，但這種人往往溝通交流更輕鬆直接，不會藏著掖著。

網易SRC作出公開發公告這件事也是有壓力的。一般來說，大廠公關的標準流程通常是大事化小。但他們這次選擇扮一次黑臉。選擇當衝出到當那個心直口快，敢把事情挑明了說的人。

或許他們知道這公告會讓一些白帽子不太舒服，甚至讓自己平台的白帽子流失的。但也正如JSRC李學慶所說：

我覺得讓白帽子知道條款中的內容比擔心白帽子不來我們平台挖漏洞更重要。

把事情擺在明面上說，忍痛挖掉個腳底的爛瘡，雖然一時劇烈疼痛，但也只有這樣才能最終痊癒。而不是讓它慢慢爛透。

JSRC 李學慶告訴我，僅僅看京東的JSRC的數據，上線白帽子協議一天後，就有69個白帽子閱讀並同意了協議，到第三天的時候已經有超過100個白帽子閱讀並同意了協議。

顯然，越來越多的白帽子也意識到，規範起來，大家把事情講明，也並非什麼壞事。說出來，總比不說要好。

和JSRC 的李學慶交談的最後，他說，

我一直認為安全響應中心的初衷是為了企業與安全從業者共同打造一個良性的安全生態。

所以我更希望所有的安全響應中心能夠拿出更真誠的態度，聯合所有的資源為白帽子做些實事。

當然我也更加希望白帽子兄弟們能夠不忘初衷，用自己的正道能力幫助企業彌補安全的不足。我堅信未來的中國安全將是領先的，健康的，受世界尊敬的。

也希望未來SRC和白帽子的關係能真的如此。

註：本文首發在公眾號【宅客頻道】，一個好玩有趣的網路安全公眾號。

互聯網主權可不像領土主權那樣有軍隊和國際法的保護。

如果不允許國內白帽入侵檢測，玩掩耳盜鈴，以後國外黑帽、烏紗帽進來玩就輕鬆愉快了。

看詞填空

卸磨殺_

過河拆_

得魚忘_

其他的其他人補充吧。這就是個成語填空題。

src 雖然各大廠商都紛紛成立。然而

然

而

多數並沒什麼卵用。

大公司多數不是錢的問題，而是臉的問題，其次就是各路好漢技術雖然可能登峰造極超前又牛逼。可是人品還太過蠻荒並未開竅。

src找洞給錢，其實挺坑的。。。

這次又要立公約……

顯然也是類似中國近代不平等條約一覽表。

如果廠商靠譜真的拿出好的態度，這絕壁是長足的進步……

不過某雲，用血開了路。。。現在路還在，血還熱。雲被風吹走了。。。

裝13 說大話，怕被揍匿了

第二十六條開展網路安全認證、檢測、風險評估等活動，向社會發布系統漏洞、計算機病毒、網路攻擊、網路侵入等網路安全信息，應當遵守國家有關規定。
第二十七條任何個人和組織不得從事非法侵入他人網路、干擾他人網路正常功能、竊取網路數據等危害網路安全的活動；不得提供專門用於從事侵入網路、干擾網路正常功能及防護措施、竊取網路數據等危害網路安全活動的程序、工具；明知他人從事危害網路安全的活動的，不得為其提供技術支持、廣告推廣、支付結算等幫助。

網路安全法還是要響應的。

第六十二條 違反本法第二十六條規定，開展網路安全認證、檢測、風險評估等活動，或者向社會發布系統漏洞、計算機病毒、網路攻擊、網路侵入等網路安全信息的，由有關主管部門責令改正，給予警告；拒不改正或者情節嚴重的，處一萬元以上十萬元以下罰款，並可以由有關主管部門責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處五千元以上五萬元以下罰款。
第六十三條 違反本法第二十七條規定，從事危害網路安全的活動，或者提供專門用於從事危害網路安全活動的程序、工具，或者為他人從事危害網路安全的活動提供技術支持、廣告推廣、支付結算等幫助，尚不構成犯罪的，由公安機關沒收違法所得，處五日以下拘留，可以並處五萬元以上五十萬元以下罰款；情節較重的，處五日以上十五日以下拘留，可以並處十萬元以上一百萬元以下罰款。

不然被追究法律責任就不好了。

或者追究的話肯定也要先把自己撇乾淨。

還搞什麼白帽子，乾脆每人一頂鐵帽子，扣上去就取不下來

所以說，黑客就黑客，偏偏帶什麼白帽子。

都是愛這行的，憑什麼要我們戴著鐐銬跳舞？

國外的黑帽和灰帽們表示呵呵噠。

以前烏雲在的時候，烏雲作為廠商和白帽子之間的橋樑，所建立的協議不會限制白帽子，反而是鼓勵白帽子，現在沒有了，廠商一家獨大，我說什麼就是什麼。簡直藥丸！

記得曾經海盜猖獗，然後我們閉關鎖國了。多麼熟悉的味道，多麼相似的場景。真不希望重蹈覆轍……

作為一直滲透狗，表達以下幾點，說的不好或者不對的，各位勿噴。

1 本質上這就是門手藝，無所謂黑白，大家都是憑手藝吃飯，只不過吃肉的看起來比吃米飯的要快過一些。

2 各家src的存在使得暴露在公眾視野里的問題減少，但互聯網三大精神中的共享也無從談起。好像除了烏雲沒人公開漏洞細節。

3 個人不喜歡刷src，倒是喜歡跟大家交流思路什麼的。只是想在浮躁的社會裡默默的研究學習。

自己成了神，把別人當成奴，自己成了老大，怕別人翻身，江湖多了，就想成為武林盟主，把規矩當真的人，一定沒出息，我就想說，明白的人始終明白，不明白的人始終不明白，該牛逼的始終牛逼，不牛逼的始終是小弟，匿了

吃瓜群眾唯一看出來的就是——已經簽白帽子協議的應該都沒上知乎答這個題…

這是為互聯網+鋪路，國家倡導「大眾創業，萬眾創新」。我國互聯網作為走在世界前列的國家，有許多東西不成熟，需要探索，不能被破壞！！！

打個比方：公司出個互聯網產品，白帽子在沒有得到授權的情況下去掃描漏洞並且提交或者公布，會給公司造成損失，那這損失誰來補貼？還怎麼創業下去？

你可以說公司的安全沒做好！

但發展中的公司會耗時間去各種完善么？

搞過it的應該都知道，許多產品都是一鎚子買賣，有想法就馬上做出來然後上線看市場的。