應(yīng)盡快制定行業(yè)標(biāo)準(zhǔn)

“法律永遠(yuǎn)滯后于技術(shù)發(fā)展。”作為中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)理事的謝永江表示，召集專業(yè)人士通過(guò)行業(yè)協(xié)會(huì)制定“白帽子”挖掘漏洞、提交漏洞的行業(yè)標(biāo)準(zhǔn)更為快捷。行業(yè)準(zhǔn)則可以制定“白帽子”的注冊(cè)標(biāo)準(zhǔn)，規(guī)范使用工具，對(duì)挖掘行為的邊界形成行業(yè)共識(shí)，統(tǒng)一挖掘漏洞的授權(quán)規(guī)則。黃道麗也認(rèn)為，法律規(guī)范需要進(jìn)一步完善并合理化，具體的技術(shù)規(guī)范則可以交給市場(chǎng)優(yōu)化解決。

對(duì)比烏云網(wǎng)的對(duì)公眾強(qiáng)制披露制度、只對(duì)廠商內(nèi)部披露的補(bǔ)天模式以及國(guó)家信息安全漏洞共享平臺(tái)模式，謝永江認(rèn)為，漏洞平臺(tái)對(duì)公眾強(qiáng)制披露漏洞，存在著現(xiàn)實(shí)和法律風(fēng)險(xiǎn)：首先，公眾對(duì)漏洞細(xì)節(jié)不一定了解，遑論采取相對(duì)應(yīng)的防范措施；其次，披露漏洞細(xì)節(jié)可能引來(lái)“黑帽子”的攻擊，加重漏洞的危害。不過(guò)，如果廠商在接到漏洞報(bào)告后不修復(fù)漏洞，導(dǎo)致用戶信息因該漏洞泄露，“白帽子”的漏洞報(bào)告就可以成為廠商不履行網(wǎng)絡(luò)安全管理義務(wù)、在用戶信息泄露事件上存在過(guò)失的證據(jù)，用戶因此產(chǎn)生的損失就可以索賠。

西安交通大學(xué)法學(xué)院與360公司曾就“白帽子”挖掘漏洞的獎(jiǎng)勵(lì)模式進(jìn)行了專題研究，并發(fā)布了《白帽子安全漏洞挖掘風(fēng)險(xiǎn)報(bào)告》。當(dāng)前多種漏洞披露平臺(tái)具有一定的嘗試和探索意義。“從目前國(guó)內(nèi)外漏洞平臺(tái)的發(fā)展階段看，似乎也不存在一種單一的模式。”參與撰寫(xiě)該報(bào)告的黃道麗告訴記者。

報(bào)告顯示，“臉書(shū)”僅在2015年就給210名“白帽子”發(fā)放了93.6萬(wàn)美元的漏洞獎(jiǎng)勵(lì)。漏洞賞金計(jì)劃、漏洞購(gòu)買計(jì)劃(VPPs)以及漏洞獎(jiǎng)勵(lì)計(jì)劃吸引更多“白帽子”加入安全防護(hù)研究，已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域司空見(jiàn)慣的事情。

在國(guó)外漏洞眾測(cè)平臺(tái)“第一黑客”(HackerOne)上，由眾測(cè)企業(yè)向黑客支付發(fā)現(xiàn)漏洞的獎(jiǎng)勵(lì)，“第一黑客”則從企業(yè)獎(jiǎng)勵(lì)中抽取20%的費(fèi)用。“第一黑客”還向企業(yè)提供付費(fèi)服務(wù)模式，如漏洞訂閱服務(wù)、漏洞披露指導(dǎo)、安全咨詢等。目前，“第一黑客”已幫助500多家企業(yè)找出2萬(wàn)多個(gè)漏洞，向3200多名獨(dú)立安全研究員發(fā)放了600多萬(wàn)美元的獎(jiǎng)勵(lì)，單個(gè)漏洞獎(jiǎng)勵(lì)最多達(dá)到3萬(wàn)美元。從國(guó)際實(shí)踐來(lái)看，相比目前我國(guó)企業(yè)較低的漏洞獎(jiǎng)勵(lì)金額，黑市交易的高額回報(bào)顯然更具誘惑力，這也是黑市產(chǎn)業(yè)鏈形成和發(fā)展的關(guān)鍵因素。黃道麗表示，“‘白帽子’是一群崇尚自由的群體，憑借自身對(duì)技術(shù)的追求或?qū)W(wǎng)絡(luò)安全的維護(hù)之心等挖掘漏洞，期望從中實(shí)現(xiàn)不同的價(jià)值，所以‘白帽子’不會(huì)因?yàn)樯虡I(yè)化而消失。因此，建立長(zhǎng)效高額的安全漏洞獎(jiǎng)勵(lì)機(jī)制是支持和鼓勵(lì)‘白帽子’的最佳方式。”