例如,乌云漏洞报告平台创立于2010年,是国内最早也最知名的在线漏洞报告平台,吸引了不少“白帽子”。他们发现厂商的漏洞后提交到乌云,漏洞确认后会获得一定的积分(乌云币),通过积分兑换礼品。对于高质量的漏洞,会直接提供现金奖励。
除了漏洞报告平台本身,乌云还有安全众测、知识库、社区、招聘等栏目吸引和聚集“白帽子”。
安全平台乌云创始人方小顿此前接受采访时说:乌云核心的运营思路就是开放和分享的原则,信息的流动能够带来社区的活跃,在积累了大量的安全问题基础数据之后,希望能够与白帽子一起,除了发现问题之后还能给大家带来更多的东西,譬如如何解决和规避安全风险的问题。
但方小顿在去年4月接受采访时又称,乌云仍属于一个非营利组织,网站的主要经济来源由Cncert互联网应急中心和广东信息安全评测中心提供。
与乌云平台类似,补天平台是360建立的第三方漏洞报告平台,该平台漏洞数据与公安部、网信办和国家漏洞库同步。
通常来讲,这些第三方漏洞平台对信息安全漏洞的发布和处理,会经过提交漏洞、漏洞确认、通报产商、厂商确认、厂商修复五个步骤。
其中,第三方漏洞平台通常会给出厂商对漏洞的确认周期,如果在一定天数内未确认,则会向公众公开。
以社保系统漏洞为例,补天漏洞响应平台相关负责人称,在发现漏洞后会第一时间联系系统运营单位,告知漏洞存在,同时向中央网信办、国家互联网应急中心以及公安部相关部门上报。
此外,随着众包模式的兴起和发展,安全测试也进入了这一领域,如乌云众测、漏洞盒子等。
这意味着企业可在短时间内组建虚拟的安全团队,通过邀请顶尖白帽子模拟黑客对网站、系统或产品进行测试,企业可迅速排查各种安全隐患,并按效果向白帽子付费。
在方小顿看来,互联网安全行业应该受到更高的重视,还需要国家、企业、媒体以及第三方平台等参与进来。“来自各行各业的人士会从不同的角度分析判断网络安全问题,从而会更容易发现漏洞,减少损失;另一方面,企业的参与也能够从一定程度上改善白帽子黑客的生活质量,对其也是一种正确方向的引导。”来源:新浪网 2015年04月24日
用微信“扫一扫”,精彩内容随时看
