TK教主：對漏洞的一些想法

雷鋒網註：該文作者為於暘, 網名「tombkeeper」,人稱「TK教主」,騰訊安全玄武實驗室負責人,國際知名的白帽黑客，該文已獲於暘授權轉載。

對安全問題的一個常見誤解是認為漏洞是某種像導彈一樣的東西，可以用油紙包起來放到山洞裡。但導彈不會消失，而漏洞轉瞬即逝。漏洞是動態的，不斷產生，不斷消失，所以其實更像電。電一旦發出來，難以長期保存。所以搞電力建設，核心不是囤積多少電池，而是建多少電站。對於漏洞來說，「電站」就是安全研究者。

在漏洞研究領域，人和人的差別有多大呢？大到一萬個臭皮匠也頂不了一個諸葛亮。在任何行業，這種情況都是管理者最不喜歡的，但又是一個客觀事實。在目前以及可預見的未來，沒有什麼軟體或硬體能代替優秀的漏洞研究者。

目前業界公認水平最高的漏洞研究團隊是 Google 的 Project Zero。Project Zero 匯聚了全世界各類漏洞研究方向上最好的一些人，每年都能產出數量和質量驚人的成果。那為什麼這些人都願意去 Project Zero？

Project Zero 的待遇當然是很好的。但同樣的待遇，很多公司都能給得出。最主要的原因是 Google 給了 Project Zero 最寬鬆的氛圍，特別是制度性地允許和鼓勵對研究結果進行完全披露。

對研究者來說，除了薪酬待遇，最重要的是自己的成果能為業界所知，能自由地進行交流。這一點，決定了他們能夠從內心中產生強大的自我驅動力，能對研究的問題晝思夜想，全身心投入。而不會像大多數人那樣抱著拿一份錢打一份工的想法。不會多工作幾分鐘就認為公司佔便宜了，自己吃虧了。

2006 年前後，國內網路安全研究人員的薪酬水平比較低。那幾年 McAfee、Fortinet 等外企從中國挖走了大批優秀人才。以至於矽谷有些安全公司研究團隊里一半以上都是華人。2012 年之後，國內這個行業的薪酬情況逐漸好起來，去國外的人就少了，一些已經去了國外的人也回來了。

目前國內安全研究實力和美國相比尚有差距，但處於蓬勃發展的狀態。相對自由的環境，讓大批優秀的年輕人願意加入這個行業，展現才華，獲得屬於自己的成就。如果現在改變這種環境，讓每個人在發布研究成果時都思前想後戰戰兢兢，短期內也許能獲得些許表面上的平安和穩定。但長期來看，一定會對安全人才培養造成非常負面的影響。

說漏洞像電，漏洞其實又不像電。三峽的電，如果中國人不發，別的國家也發不了。但任何漏洞，如果你沒有足夠的人才來研究，是攔不住別人去研究的。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！