應(yīng)盡快制定行業(yè)標(biāo)準(zhǔn)

“法律永遠滯后于技術(shù)發(fā)展?！弊鳛橹袊W(wǎng)絡(luò)空間安全協(xié)會理事的謝永江表示，召集專業(yè)人士通過行業(yè)協(xié)會制定“白帽子”挖掘漏洞、提交漏洞的行業(yè)標(biāo)準(zhǔn)更為快捷。行業(yè)準(zhǔn)則可以制定“白帽子”的注冊標(biāo)準(zhǔn)，規(guī)范使用工具，對挖掘行為的邊界形成行業(yè)共識，統(tǒng)一挖掘漏洞的授權(quán)規(guī)則。黃道麗也認(rèn)為，法律規(guī)范需要進一步完善并合理化，具體的技術(shù)規(guī)范則可以交給市場優(yōu)化解決。

對比烏云網(wǎng)的對公眾強制披露制度、只對廠商內(nèi)部披露的補天模式以及國家信息安全漏洞共享平臺模式，謝永江認(rèn)為，漏洞平臺對公眾強制披露漏洞，存在著現(xiàn)實和法律風(fēng)險：首先，公眾對漏洞細節(jié)不一定了解，遑論采取相對應(yīng)的防范措施；其次，披露漏洞細節(jié)可能引來“黑帽子”的攻擊，加重漏洞的危害。不過，如果廠商在接到漏洞報告后不修復(fù)漏洞，導(dǎo)致用戶信息因該漏洞泄露，“白帽子”的漏洞報告就可以成為廠商不履行網(wǎng)絡(luò)安全管理義務(wù)、在用戶信息泄露事件上存在過失的證據(jù)，用戶因此產(chǎn)生的損失就可以索賠。

西安交通大學(xué)法學(xué)院與360公司曾就“白帽子”挖掘漏洞的獎勵模式進行了專題研究，并發(fā)布了《白帽子安全漏洞挖掘風(fēng)險報告》。當(dāng)前多種漏洞披露平臺具有一定的嘗試和探索意義?！皬哪壳皣鴥?nèi)外漏洞平臺的發(fā)展階段看，似乎也不存在一種單一的模式?！眳⑴c撰寫該報告的黃道麗告訴記者。

報告顯示，“臉書”僅在2015年就給210名“白帽子”發(fā)放了93.6萬美元的漏洞獎勵。漏洞賞金計劃、漏洞購買計劃(VPPs)以及漏洞獎勵計劃吸引更多“白帽子”加入安全防護研究，已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域司空見慣的事情。

在國外漏洞眾測平臺“第一黑客”(HackerOne)上，由眾測企業(yè)向黑客支付發(fā)現(xiàn)漏洞的獎勵，“第一黑客”則從企業(yè)獎勵中抽取20%的費用?！暗谝缓诳汀边€向企業(yè)提供付費服務(wù)模式，如漏洞訂閱服務(wù)、漏洞披露指導(dǎo)、安全咨詢等。目前，“第一黑客”已幫助500多家企業(yè)找出2萬多個漏洞，向3200多名獨立安全研究員發(fā)放了600多萬美元的獎勵，單個漏洞獎勵最多達到3萬美元。從國際實踐來看，相比目前我國企業(yè)較低的漏洞獎勵金額，黑市交易的高額回報顯然更具誘惑力，這也是黑市產(chǎn)業(yè)鏈形成和發(fā)展的關(guān)鍵因素。黃道麗表示，“‘白帽子’是一群崇尚自由的群體，憑借自身對技術(shù)的追求或?qū)W(wǎng)絡(luò)安全的維護之心等挖掘漏洞，期望從中實現(xiàn)不同的價值，所以‘白帽子’不會因為商業(yè)化而消失。因此，建立長效高額的安全漏洞獎勵機制是支持和鼓勵‘白帽子’的最佳方式?！?/p>