漏洞盒子：简单高效的漏洞发现与处理平台

何为白帽子？

谈到黑客，大多数情况下，我们都对这一群体抱有负面态度。事实上，不少黑客愿意用自己的知识帮助厂商，将威胁用户安全的漏洞扼杀在襁褓之中。白帽子就是这样一群正面的黑客。他们善于发现计算机或网络系统中的安全漏洞，但并不会恶意利用这些漏洞，而是选择与厂商联系修复漏洞。

与此同时，厂商显然也希望广大白帽子群体可以帮助自己完善产品。我们可能多少都听说过乌云漏洞报告平台，而如今互联网安全媒体 FreeBuf 也推出了一款类似的产品——「 漏洞盒子 」。

漏洞盒子于 5 月 20 日上线，是一个简单高效的漏洞发现与处理平台。它致力于「连接世界各地的安全研究者与白帽子」，帮助厂商发现产品中潜在的安全风险。漏洞盒子的团队成员均来自 Freebuf，并在携程、百度、阿里等公司有一定的安全从业经验。团队表示，推出漏洞盒子的初衷是建立厂商与白帽子之间的信任，从而引导行业负责任地披露和处理漏洞；此外也促使发现漏洞的过程公开透明，帮助厂商与白帽子互惠共赢。

谈到最初如何想到要做这一产品，漏洞盒子创始人袁劲松表示：

目前越来越多的互联网应用、APP、硬件等对安全性有高要求，而传统安全服务并没有真正解决这一需求。传统安全厂商无法做到按结果付费，水平参差不齐；只有合理的激励机制才会鼓励更多的测试人员发现产品中存在的安全问题。

白帽子进阶指南

漏洞盒子支持 FreeBuf 账号登录，用户首次登录需要激活账号，激活链接会发送到注册邮箱。当然，领取奖金需要用户账号绑定支付宝，认证过程需要填写真实个人资料，证件照也要和支付宝的姓名保持一致。

注册成功后，用户进入项目大厅，就可以看到当前开放项目的简介，项目类型分为「公开」和「私密」两种。目前公开的热门项目包括 360 手机卫士、去哪儿手机 App、比特币中国与腾讯手机管家等。

以 360 手机卫士安全测试项目为例，可以看到其开放时间为两个月，漏洞分为 3 个等级，分别是高危、中危与低危。「高危」包括远程代码执行漏洞、本地跨应用功能漏洞，「中危」包括信息泄露漏洞，而「低危」指拒绝服务漏洞。根据漏洞等级不同，其对应奖金也不同。

用户可以根据「金额」、「已开放」、「未开放」等选项选择合适的项目，提交漏洞时需要选择漏洞类型和等级，并填写详情和修复方式。漏洞提交后，厂商可以在后台查看漏洞细节并评估其风险，如果确定用户提交的漏洞有效，将在修复后向提交漏洞的白帽子给予一定金额的奖励。

任务发布 Q&A

对厂商而言，在漏洞盒子上发布奖励计划并不复杂，只要经过任务发布、任务进行、任务关闭三个阶段：

1. 任务发布：

   厂商可以直接在漏洞盒子上发布任务奖励计划，其中需要明确写出漏洞测试范围、有效的漏洞类型、不推荐的测试手段、是否给予有效漏洞的提交者现金奖励等条件。此外如果提供现金奖励，还需要注明不同风险级别的漏洞对应的奖金范围。

   至于任务类型，厂商可选择「私人任务」和「公开任务」。满足一定条件的测试人员才能参加私人任务，而所有注册的测试人员均可查看并参与公开任务。

2. 任务进行：

   测试人员根据厂商的任务要求提交漏洞，厂商可以在后台查看漏洞细节并评估风险，此外还可以修改漏洞状态。

3. 任务关闭：

   任务在指定时间会自动关闭，厂商也可以主动申请关闭任务。任务关闭后，白帽子将无法再提交漏洞；但此前提交的未处理漏洞依然有效。

如何保证安全？

既然涉及到产品漏洞这样一个敏感区域，安全是首要考虑的问题。袁劲松表示，漏洞盒子目前的机制是，漏洞修复后才会对白帽子开放「申请公开」的选项，厂商会收到消息并确定是否公开。也就是说，选择权完全在于厂商，如果厂商愿意公开，也就意味着漏洞公布不会对其产生影响。如果厂商不愿公开，那么漏洞会在漏洞盒子平台上永久保持私密状态。

此外，部分厂商对测试人员或项目保密级别要求较高，针对这种情况，漏洞盒子会帮助厂商将任务级别设置为「私密」。私密任务对参与测试的人员有一定要求，例如需要填写手机号码、身份认证信息等，并需要在相关领域有一定研究成果。此外，漏洞盒子可以为厂商提供专业流量审计设备，全程监控白帽子的测试行为，从而保证项目安全。

至于如何评定测试人员应获的奖金，漏洞盒子也会与厂商签订合同，其中明确写出了不同级别漏洞的价格。如果测试人员提交的漏洞符合要求，那么厂商必须按照合同支付奖金。如果测试人员对奖金数额感觉不满意，漏洞盒子还会介入仲裁，与厂商和测试人员一起协调，最终得出双方满意的结果。

漏洞盒子 vs 乌云

前面提到了漏洞安全性，而漏洞盒子与乌云的最大区别之一，就是所有漏洞公开选择权在于厂商。乌云平台上所有发现的漏洞最后都会公开，只是时间长短的问题。而漏洞盒子则充分考虑到了厂商可能的需求。此外，漏洞盒子秉承「无漏洞，不收费」的原则，如果没有发现漏洞，则厂商不用支付任何费用。

此外，漏洞盒子的奖励机制也是一个亮点。白帽子理应为自己的劳动成果获得报酬。乌云的奖励是平台本身和第三方合作伙伴一同提供的；而漏洞盒子的奖金是由发布任务的厂商提供，漏洞盒子负责保障测试人员利益。

漏洞盒子的优势

目前漏洞盒子运营数据良好，上线第一天注册白帽子超过 2000 人，截至目前已有 5000 多名白帽子注册。入驻漏洞盒子的厂商有腾讯、360、去哪儿、比特币中国等公司，通过这种方式，厂商已经发现大量安全问题。

谈及安全行业的现状，袁劲松认为：

随着互联网以及技术的发展，安全已经成为企业重中之重的话题。对 IT 服务商而言，无论产品多么优秀，如果不能保证其安全性，就意味着会给企业与客户带来巨大风险。虽然安全是企业老生常谈的话题，但我们也看到，近几年企业正在不断加强对安全的重视程度。安全永远是第一要素。

众所周知，任何产品都会有 Bug，或者说漏洞。服务商能做的就是不断完善，不断修补漏洞，从而构建相对比较完整的安全保障。漏洞盒子为厂商提供跨区域、全球化的专家级服务，同时平台上也汇集了来自世界各地的测试人员。这些优势都将帮助厂商降低人力成本、减少投入，并借助大众的力量发现并修补产品 Bug。无论是从覆盖面、所需资源、还是漏洞质量来说，这相比传统方式都要高效得多。

创之 (chuang.pro)是TECH2IPO/创见旗下创业主题子站，为创业者、投资人提供最有价值资讯和观点，欢迎你与我们共同建设！