如何評價國內SRC紛紛上線「白帽子協議」?

導語：老鐵，知道你沒毛病，也沒有壞心思，可好心辦壞事的情況也不是沒發生過。要是一不留神就進去了，那就太冤了。多注意點吧！

本文作者：謝幺

2017年6月1日21:21分

某監獄裡，對話如下：

犯人A:你們都是怎麼來的？

犯人B:我是XX漏洞平台挖漏洞不小心進來的。

犯人C:我是XX平台路人甲，輸錯命令了rm -rf / （批量刪除）

犯人D:我是某測評中心的忘了要授權了……

犯人E:我。。。就是那個在群里成天陪你們吹牛逼斗圖的HELLEN啊！

犯人F:這下齊了，到底誰黑的我網站我不打死你，我是那個管理員站長。

……………………

____

沒錯，以上只是個段子。但是在6月1日那天，這條段子在安全圈的微信群里傳得很廣，因為那天《網路安全法》正式實施。

雖然安全圈裡不少人都挺有自嘲精神的，但這些自黑的段子，明顯也透露出几絲擔憂，像是一段對白：

「嘿，老鐵，知道你沒毛病，也沒有壞心思，可好心辦壞事的情況也不是沒發生過。要是一不留神就犯了法進去了，那就太冤了。多注意點吧！」

這種擔憂並不是沒依據的。提兩個真事。

一個是去年鬧得沸沸揚揚的「袁煒事件」。

2015年底，烏雲漏洞平台的白帽子袁煒提交了一個世紀佳緣的安全漏洞，世紀佳緣確認並修補了這個漏洞，同時在烏雲網上對白帽子表示致謝。但事後他們統計發現，有900多條有效數據被攻擊者獲取。

出於對信息安全的擔憂，世紀佳緣選擇了報警。警方調查後才發現只有袁煒一個人涉嫌此案。最後袁煒被檢察院公訴，2016年4月被批准逮捕。

事件一出，整個安全圈都炸開鍋了。隨之而來的是各方對於白帽子行為邊界的深刻討論。

第二件事就發生在最近，不過沒有上一個那麼「刺激」。

6月1日 ，某知名互聯網公司的安全應急響應中心（以下簡稱「SRC」） 發布了一篇公告，指出其平台上有白帽子不遵守平台漏洞測試原則，在未經他們授權的情況下擅自公開披露了一例漏洞細節。最後的結果是取消了該白帽子提交該漏洞的獎勵。

公告一出，也是眾說紛紜。有人覺得專挑《網路安全法》實施當天發公告，言辭還挺激烈，這是示威啊！也有人覺得這沒毛病，就得按照法律和規則來，凡事講道理嘛；

當事人白帽子也在其博客里指出，該SRC在發出公告之前，曾經在沒通知的情況下，凍結了他賬戶下的所有漏洞獎勵積分（包括之前挖漏洞的獎勵），導致他無法兌換獎品。

雖然錢是小，但是讓人很不爽啊！（還發了公告）

這兩件事其實是企業和白帽子的矛盾關係在極端場景下的激活和爆發。什麼矛盾呢？「又愛又怕」的矛盾。

企業對白帽子是又愛又怕的。

他們愛白帽子，因為後者能為幫他們發現不少安全漏洞，有時還給出修復方案，維護了他們的業務穩定；但他們又怕白帽子「放蕩不羈愛自由」，懶得看法律條文和平台，按自己的行事邏輯辦事。也怕白帽子因為對法律的不了解做出一些有爭議的事。還怕有黑產分子假借白帽子的名義，傷了雙方的感情，還敗壞了白帽子的名聲。

白帽子對企業也是又愛又怕。

他們喜歡挖漏洞帶來的回饋，不僅包括物質上的禮物、獎金，更有精神上的鼓勵——自己的ID出現在感謝名單上的自豪、組隊挖漏洞帶來的好基友和技術討論氛圍；同時他們也怕自己一不小心就背了鍋，對方發來感謝並逮捕了自己，也怕自己的漏洞得不到認可。

好，那有沒有辦法讓這種微妙的關係達到某種平衡，形成一種默契呢？將「怕」的那一部分盡量降低，減少大家的顧慮和畏懼呢？

其實各家企業的SRC和漏洞平台都在努力尋找這個答案。最終，他們選了一個還不錯的解決方案：規則。

於是他們推出「白帽子協議」。

6月1日那天，超過19家企業的SRC組成了「SRC聯盟」共同上線了「白帽子協議。有這些平台：

京東安全應急響應中心、360安全應急響應中心、愛奇藝安全應急響應中心、滴滴出行安全應急響應中心、餓了么安全應急響應中心、競技世界安全應急響應中心、聯想安全應急響應中心、美麗聯合集團安全應急響應中心、陌陌安全應急響應中心、同程安全應急響應中心、途牛安全應急響應中心、網易安全應急響應中心、小米安全中心，攜程安全應急響應中心、微博安全應急響應中心、宜人貸安全應急響應中心、豬八戒網安全應急響應中心、補天漏洞響應平台……

白帽子協議是什麼？

按照我的理解，白帽子協議是一個企業和白帽子之間的約定。

哪些事能幹，哪些不能幹，哪些需要提前打個招呼，咱提前都先交代好，簽個協議點個「同意」，雙方達成一致覺得沒問題了，然後就可以繼續開心地挖漏洞、刷榜和拿獎勵了。

之後的相關情況都有限按照之前約定好的來，這樣大家都服氣。沒什麼爭執，也不容易出問題。

▲ 京東JSRC 的白帽子協議頁面截圖

畫外音：擦，這麼多規矩，條條框框，不是讓我們白帽子挖漏洞捆手捆腳了嗎？

還真不是。我做個類比：

《網路安全法》制定之後，一開始也有不少人擔心，覺得這會讓安全從業者的活動空間越來越小，捆手捆腳。可後來人們發現，誒？長遠看來，制定了規則，明確了邊界反而讓人更能安心來做事，知道底線和邊界在哪，反倒能在邊界之內放開手腳去干，不必畏首畏尾。

同樣，漏洞平台和企業SRC也為白帽子制定「白帽子協議」，確定各自平台的規則和邊界。這讓白帽子也會心裡有底，知道自己的權利和義務，可以在規則之下放開手腳，而不會迷迷糊糊做事，莫名其妙就出現了分歧和誤會。

當然，如果白帽子不同意某個平台的協議，雙方沒有達成一致，那就乾脆不要開始，這家不行就換別家挖嘛，至少不會出現撕逼和誤會。

提前交代好權利義務和利害關係，對雙方都是一種保護。

畫外音 ：SRC 非要同意協議才讓挖漏洞，他們不怕這樣弄得白帽子都「不敢」或者「不願意」去幫他們挖漏洞了嗎？

我把這個問題問了此次」白帽子協議「主導者之一京東JSRC的老大李學慶，他的回答原話是這樣的：

這個問題我之前考慮過，也擔憂過，但是我覺得讓白帽子知道條款中的內容比擔心白帽子不來我們平台挖漏洞更重要。

我不希望白帽子由於不知道條款中的內容，不知道網路安全法的嚴肅性而不小心給他們自己帶來麻煩。

李學慶告訴宅客頻道，當他們把「白帽子協議」以及網路安全普法的想法告訴陌陌等其他 SRC 的運營團隊時才發現，大家原來都想到一塊兒去了，各家 SRC 大多都有類似的想法。

一拍即合，最後居然有 19家 SRC 願意一起做。此外還有其他SRC有類似的活動計劃，只是因為節奏不一致所以很遺憾地沒能一起來做。

宅客發現，前文提到的6月1日發公告「懟」了白帽子的那家SRC也在其中。（好吧其實就是網易 SRC ，不匿了）

從宅客的角度來看這個問題，無論是當事人白帽子在其博客公開把這件事的事前因後果說出來也好，網易 SRC 公開發布聲明也好。

與其私底下解決，最後相互猜忌懷疑，不如像他們這樣大大方方把事情擺在明面上來說。雖然這可能給人留下強勢的印象，但至少能讓其他白帽子知道他的原則和底線。

就像交朋友，脾氣沖，但心直口快的人，可能一開始給人留下「強勢」、「裝逼」、「暴脾氣」的印象，但這種人往往溝通交流更輕鬆直接，不會藏著掖著。

網易SRC作出公開發公告這件事也是有壓力的。一般來說，大廠公關的標準流程通常是大事化小。但他們這次選擇扮一次黑臉。選擇當衝出到當那個心直口快，敢把事情挑明了說的人。

或許他們知道這公告會讓一些白帽子不太舒服，甚至讓自己平台的白帽子流失的。但也正如JSRC李學慶所說：

我覺得讓白帽子知道條款中的內容比擔心白帽子不來我們平台挖漏洞更重要。

把事情擺在明面上說，忍痛挖掉個腳底的爛瘡，雖然一時劇烈疼痛，但也只有這樣才能最終痊癒。而不是讓它慢慢爛透。

JSRC 李學慶告訴宅客頻道，僅僅看京東的JSRC的數據，上線白帽子協議一天後，就有69個白帽子閱讀並同意了協議，到第三天的時候已經有超過100個白帽子閱讀並同意了協議。

顯然，越來越多的白帽子也意識到，規範起來，大家把事情講明，也並非什麼壞事。說出來，總比不說要好。

和JSRC 的李學慶交談的最後，他告訴我，

我一直認為安全響應中心的初衷是為了企業與安全從業者共同打造一個良性的安全生態。

所以我更希望所有的安全響應中心能夠拿出更真誠的態度，聯合所有的資源為白帽子做些實事。當然我也更加希望白帽子兄弟們能夠不忘初衷，用自己的正道能力幫助企業彌補安全的不足。我堅信未來的中國安全將是領先的，健康的，受世界尊敬的。

也希望未來SRC和白帽子的關係能真的如此。

____

以上僅僅本文作者的一家之言，歡迎討論

PS：有不少SRC說希望在這件事上多聽聽白帽子的意見和建議，所以我在知乎上創建了一個提問：如何看待國內SRC紛紛上線「白帽子協議」？歡迎業內的朋友們前來討論，可能有人噴，有人頂，但大部分事情，能擺在明面上講總是好的。

雷鋒網原創文章，網站轉載請至雷鋒網官網申請授權。歡迎熱情討論，轉發分享~

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！