本文作者史中，雷鋒網(wǎng)主筆。關(guān)注網(wǎng)絡(luò)安全，希望用簡單地語言解釋科技的一切。

HackerOne是美國著名的漏洞眾測公司，它最早開創(chuàng)了一種模式：匯集眾多的黑客，一起為企業(yè)找漏洞。

目前，全球致命的互聯(lián)網(wǎng)公司 Yahoo、Twitter、Adobe、Uber、facebook 等都會在 HackerOne 上發(fā)布漏洞獎勵計劃，歡迎白帽子（致力于網(wǎng)絡(luò)安全的黑客）們測試自己的網(wǎng)絡(luò)安全。

HackerOne 的商業(yè)模式，在全世界得到了推廣，中國的眾多漏洞平臺也依靠這種方法吸引到了眾多喜愛網(wǎng)絡(luò)安全技術(shù)的白帽子，為各大企業(yè)尋找安全漏洞。

HackerOne 的 COO 王寧是一位旅美華人，她30年前于北大畢業(yè)，獲得李政道獎學(xué)金，并且攻讀了博客里大學(xué)物理學(xué)博士。最近她來到中國參加漏洞平臺補天舉辦的白帽大會，雷鋒網(wǎng)宅客頻道采訪到了她，在她看來，漏洞平臺只要運行在明確的規(guī)則之下，就可以獲得眾多公司和白帽子的信任，從而快速發(fā)展。

【HackerOne COO 王寧】

以下是雷鋒網(wǎng)宅客頻道采訪整理：

1、聽說在 HackerOne 發(fā)展的早期階段，發(fā)現(xiàn)的漏洞并不受到企業(yè)重視，有關(guān)這個情況有怎樣的故事可以分享？

Michiel Prins 和 Jobert Abma 是我們四個聯(lián)合創(chuàng)始人中的兩個，他們都是黑客。他們是發(fā)小，從童年時代就一直是最好的朋友，高中的時候他們開始學(xué)習(xí)黑客技術(shù)。

在他們成立 HackerOne 之前，曾經(jīng)開過一家安全咨詢公司。在運營這家咨詢公司時，他們產(chǎn)生一個想法：為什么不能找一找硅谷百強科技公司的安全漏洞呢？

他們覺得，如果可以向這些科技公司提交一些真正的漏洞，就可以從他們那里得到一些安全咨詢業(yè)務(wù)。但是，實際情況有點坑爹：

這100家公司中有 1/3 的公司根本不理他們，另外 1/3 的人回答說“謝謝，我們不需要”，最后 1/3 的人回郵件說想和他們聊聊，有的甚至聘請他們。這家想雇傭他們的公司就是 Fackbook。

現(xiàn)在 HackerOne 的 CTO，也是另外一個聯(lián)合創(chuàng)始人 Alex Rice，當(dāng)時是 Facebook 的產(chǎn)品安全團隊負責(zé)人。Alex 邀請 Michiel 和 Jobert 到 Facebook 見面聊聊，并聘請他們來做一個項目。這個經(jīng)驗使 Michiel 和 Jobert 意識到：

建立一個平臺，使得白帽黑客更容易向企業(yè)公司提交安全漏洞，這件事是有價值的。

在 Faceboo k首次會議一年后，Alex 離開了 Facebook，并與 Michiel 和 Jobert 合作創(chuàng)業(yè)，這就是HackerOne 成立的故事。

2、在中國存在這樣的情況：白帽子在對企業(yè)進行漏洞檢測的時候，沒有獲得完整授權(quán)，從而產(chǎn)生法律問題。在 HackerOne 的早期階段，遇到過這樣的問題嗎？

由于我們的創(chuàng)始團隊包括白帽子黑客（Michiel和Jobert）、安全專家（Alex）和有經(jīng)驗的經(jīng)理人（Merijn Terheggen），他們在很早的階段就設(shè)定了我們的平臺規(guī)則：

只有公司授權(quán)之后，白帽子才能尋找并且提交漏洞。

從成立的早期，我們的團隊就一直建議公司制定明確的漏洞獎勵計劃，明確尋找漏洞的范圍，還有披露政策和將近支付方法。 所以，我們的平臺并沒有遇到黑客和公司產(chǎn)生糾紛的情況。

3、在漏洞價格方面，是否存在公司和白帽子對同一個漏洞的價值判斷非常不同的情況？遇到這種情況，作為平臺如何妥協(xié)做到各方都滿意？

黑客和客戶之間有時候會有一些誤解。

一般情況下，是因為漏洞鼓勵計劃沒有寫得很明確，因此白帽黑客誤解了一些測試規(guī)則或賞金準(zhǔn)則或披露政策。

當(dāng)這種情況發(fā)生時，可以在我們平臺上申請“調(diào)解”。我們的安全專家和客戶經(jīng)理就會介入，詳細審查情況，并和黑客和公司的安全團隊一起討論，尋找最佳解決方案。

例如，有一次黑客發(fā)現(xiàn)了一個嚴重漏洞，一般情況下這樣的漏洞可以獲得豐厚的獎金。然而，客戶卻不愿意付出高額獎金。這個黑客非常失望，于是讓我們介入?yún)f(xié)調(diào)。我們發(fā)現(xiàn)客戶不愿意付高額獎金的原因是：這個漏洞屬于它的第三方營銷網(wǎng)站，他們覺得這個網(wǎng)站不應(yīng)該在獎勵范圍之內(nèi)。

但是，在企業(yè)一開始提交給我們的漏洞獎勵計劃中，并沒有明確說明營銷網(wǎng)站不符合獎勵條件。所以我們建議企業(yè)修改計劃頁面，避免這種扯皮的事件發(fā)生。最后我們又建議企業(yè)給黑客另外支付一些小額獎金。

這件事情就這樣相對友好地解決了。

4、對于 HackerOne 上很多政府和官方服務(wù)的漏洞，提交方式是否會和商業(yè)公司有所不同？對于挖漏洞的白帽子來說有什么需要特別注意的地方？

在 HackerOne的平臺上，所有的漏洞獎勵計劃都從前面說到的漏洞獎勵計劃頁面的起草開始。這個頁面包括了所有詳細的規(guī)則。這一點上來說，政府機構(gòu)和所有的公司是一樣的。

但是如果你為政府機構(gòu)或者大型公司尋找漏洞，建議你得仔細讀一下漏洞獎勵計劃頁面，甚至你可能還得閱讀一下這些組織的法律部門的規(guī)定。這樣才能保證你在尋找漏洞的過程中能得到最好的效果。

舉例來說，我們平臺上有一個項目：黑掉五角大樓。

這個項目只有美國公民才能才與，如果想獲得獎金，黑客還要接受背景調(diào)查。

總之，無論是政府機構(gòu)還是大公司，清楚界定范圍和規(guī)則是非常重要的，只要黑客們清楚地明白了參與的規(guī)則，就不會出現(xiàn)問題。

5、漏洞保密和漏洞公開一直是一個矛盾，對于某些不重視自身漏洞的企業(yè)，也許最終公開是最好的方法。是否存在企業(yè)對于 HackerOne 漏洞公開政策不滿意的情況？這種情況如何被解決？

披露政策其實非常重要。在 HackerOne，我們面對漏洞披露時特別小心。

我們平臺上有一個披露指南，一般情況下，企業(yè)和黑客都按照這個來進行。但每個獨立的獎勵計劃都可以確定自己的披露政策，如果與我們的披露建議相沖突，會議客戶的披露政策為準(zhǔn)。我們很鼓勵黑客和公司披露已經(jīng)修復(fù)的漏洞，這樣其他人就可以避免在未來產(chǎn)生類似的漏洞。

但我們也理解，有些企業(yè)不想透露任何漏洞信息。

所以對于漏洞披露，最終的發(fā)言權(quán)還是在企業(yè)。無論公司是不是重視它們自身的安全，我們都絕不會私自披露別人的漏洞。

這一點在我們看來是非常重要的。

6、眾測的漏洞檢測模式越來越受到追捧，在 HackerOne 發(fā)展的過程中，有沒有傳統(tǒng)安全測試公司和你們產(chǎn)生過沖突，最終又是如何解決的呢？

我之前說到，在建立HackerOne之前，我們的兩個聯(lián)合創(chuàng)始人有一家安全咨詢公司。他們的公司做了許多不同類型的咨詢項目。實際上，HackerOne 與傳統(tǒng)的安全測試服務(wù)并沒有太多的沖突。

相反，在 HackerOne 的早期，當(dāng)我們的客戶需要安全測試時，我們會把需求轉(zhuǎn)交給了一些傳統(tǒng)的安全咨詢公司。自2016年以來，我們自己也有了安全測試服務(wù)。當(dāng)然如果客戶喜歡自己尋找安全測試服務(wù)商，我們也沒有問題，不會強求。

我們只是告訴我們的客戶，我們同樣提供全面的安全測試服務(wù)，這也有助于漏洞獎勵計劃的實施。

7、現(xiàn)在 HackerOne 已經(jīng)和 Uber、Twitter 等大公司建立了良好的關(guān)系，請問 HackerOne 如何一步步建立起和大公司的信任關(guān)系？

HackerOne 由黑客和安全專家組成。 這確保了當(dāng)我們提供平臺服務(wù)的時候，能夠站在公司和黑客的平衡點。

這種中立的觀點使得我們獲得了社區(qū)中的黑客和客戶的信任。我們覺得黑客的成功可以客戶受益。所以我們精心設(shè)計了平臺上的許多功能和工作流程，并且經(jīng)常聽取黑客和客戶的改進建議，讓他們都可以信任我們。

例如我之前說到的“調(diào)解”功能，就是我們的客戶企業(yè) Uber 和黑客一起貢獻的。

8、眾測模式是由 HackerOne 開創(chuàng)的，這種模式有沒有被競爭者迅速復(fù)制？ HackerOne 是如何應(yīng)對這種競爭的？

Google，微軟和Facebook開創(chuàng)了“漏洞賞金計劃”。 我們的聯(lián)合創(chuàng)始人受到這些計劃的啟發(fā)，發(fā)明了眾測平臺模式。

自從我們建立 HackerOne 以來，全球有很多公司復(fù)制了我們的平臺功能和業(yè)務(wù)模式，包括中國。

對于我們來說，為了保持發(fā)展，就必須更快創(chuàng)新，保持領(lǐng)先。今天這個時代，靠防守是不可能守住自己的優(yōu)勢的。我很欣賞亞馬遜的 AWS，你看他們創(chuàng)新的速度有多快。正是依靠創(chuàng)新，他們才能一直領(lǐng)先對手，占據(jù)市場份額。

9、作為熟悉中國和美國文化的人，你認為中美兩國在漏洞文化上有什么差異？

所有公司和組織對他們的安全漏洞都非常敏感，例如：誰可以查看這些漏洞，如何公開披露漏洞。 中國和美國的公司和組織在這個問題上的敏感性非常相似。

我所看到的不同之處在于：

在美國，許多公司都很樂意在漏洞平臺上公布漏洞獎勵計劃，他們覺得這對公司的美譽度來說是一件好事。大多數(shù)美國公司不會單獨審查每個黑客的背景。

在中國，似乎大多數(shù)漏洞計劃都是“暗箱操作”的，每個黑客在參與漏洞計劃之前都需要被公司單獨審查背景。

所以在我看來，在中國運行的漏洞獎賞計劃似乎標(biāo)準(zhǔn)更嚴格。

10、聽說很多知名的色情網(wǎng)站都和 HackerOne 有合作，請問和色情網(wǎng)站合作的過程中，有什么有趣的故事？例如 Pornhub ，他們對于安全有什么獨特的訴求嗎？

成人視頻行業(yè)是一個很大的行業(yè)，它們會產(chǎn)生巨大的互聯(lián)網(wǎng)流量。 在成人網(wǎng)站 Pornhub 宣布他們的漏洞獎勵計劃的當(dāng)天，給我們的網(wǎng)站也帶來了巨大的流量，這是我們網(wǎng)站流量最高的一天！

但是他們的漏洞獎勵計劃和我們平臺上的其他計劃一樣，沒有任何特殊要求。我覺得 Pornhub 在我們的平臺上的漏洞獎勵計劃運行很順利，我希望有更多像 Pornhub 一樣的企業(yè)來 HackerOne 發(fā)布他們的漏洞計劃。

本文由雷鋒網(wǎng)宅客頻道首發(fā)，更多網(wǎng)絡(luò)安全內(nèi)容歡迎關(guān)注公眾號：宅客頻道。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。