特斯拉上海超級工廠監控系統遭入侵、騙子破解人臉識別系統虛開5億發票、視頻會議工具Zoom頻曝安全漏洞……隨著數字時代的加速到來，漏洞的危害性與日俱增。數據顯示，平均每一千行代碼中就存在著4-6個漏洞，而軟件系統越復雜，漏洞就會越多。

發現和修補無處不在的安全漏洞，不僅需要企業的意識及行動，國家級漏洞管理平臺的響應與擔當，更需要廣發民間技術力量的支撐與參與，發揮好白帽子群體和漏洞社會化第三方平臺的價值。今年兩會期間，全國政協委員，360集團創始人、董事長周鴻祎就提案呼吁為白帽黑客正名，提供一系列激勵政策，吸引他們為網絡強國建設做貢獻。

3月31日， 由360集團舉辦的“盤今圓桌會”第1期正式召開，會議聚焦“白帽子職業規劃與漏洞生態治理”，匯集了來自公安部第三研究所、西安交通大學蘇州信息安全法學所、北京市朝陽區人民檢察院、中國信息安全測評中心、中國信息安全法律大會專委會等機構多位專家學者獻計獻策。

360集團聯合西交蘇州信息安全法學所在會上發布了《白帽子安全漏洞挖掘與披露行為規范研究》和《安全漏洞生態治理的法治保障研究》兩份報告，基于國內外現狀，立足行業痛點，給出諸多設計構想，以推動行業生態建設。

漏洞生態治理需要民間力量 白帽黑客成“關鍵先生”

所謂“盤今”，就是要盤點當今網絡安全法治建設現狀，盤理當前法治實踐的攸關問題，盤清未來我國安全法治實踐的趨勢與進路。據360集團副總裁、總法務顧問張偉介紹，“盤今”首期活動直切網絡安全“人的因素”，可謂要害。

據了解，在新技術、新模式、新產業的推動下，數字經濟迅速發展。但不能否認的是，網絡安全問題也日益突出，并為社會平穩運行提出新的挑戰。

“從研究角度上看，安全漏洞是網絡空間系統構建的必然結果，缺陷是安全漏洞第一位的特質。”針對漏洞亂象和治理建議，公安部第三研究所信息安全法律研究中心主任、研究員黃道麗這樣表示。

在黃道麗看來，“漏洞亂象”不僅與安全漏洞本身多重屬性相關，還疊加、迭代著多重利益主體訴求、多重治理理念。因此，應建立以挖掘為起點的全周期，以發掘者、平臺、廠商，直到監管為主體的治理架構，形成披露、限制與禁止的一般與例外規則和體系化的治理生態。

而根據《安全漏洞生態治理的法治保障研究》，由于漏洞披露在漏洞生命周期中處于“由暗轉明”的特殊環節，因此應借助市場化的披露主體，收集、披露和修復，乃至實現漏洞利用，把漏洞披露作為順理成章的治理抓手。

在漏洞披露這一“抓手環節”，白帽黑客的貢獻巨大。360BugCloud是中國首家開源漏洞響應平臺，自2019年上線以來，已收到了白帽黑客提交的大量開源高危漏洞，目前累計發放漏洞獎金超5000萬，收錄的開源通用組件高危嚴重漏洞占比98%，涉及政府、企業、事業等數百余家單位，覆蓋能源、金融、交通、醫療、電信、教育眾多關鍵行業領域，挽救了全球數億的價值損失。

360安全大腦漏洞云負責人胡曉娜直言道，作為民間重要的網絡安全力量，“白帽子”已經引起行業的重視，其在對抗黑客攻擊、完善網絡安全環境、提升互聯網環境等方面，扮演著更加重要的角色。

也正如360集團法務中心總監孫艷玲所言，“白帽子個人與群體的存在有其必然性與合理性，如果說漏洞披露是生態治理中最敏捷的抓手，白帽子就是其間最活躍的要素。”

引導、規范、激勵 專家為白帽黑客生態構建開“處方”

白帽子的合理存在構筑了網絡安全的一道重要屏障，但需注意的是，網絡空間也非法外之地，要通過規則構筑形成約束邊界。

北京市朝陽區人民檢察院參會代表王愛強表示，刑法其實已經預留了相對自由的空間，白帽子應當，也可以做到對自己的手段和工具充分了解，確保知悉每一步的后果，自律其實就是最大的自由。

在規則指引上，360集團所發布的《白帽子安全漏洞挖掘與披露行為規范研究》，則首次對白帽子行為的紅線和藍線進行了強調與劃分，為白帽子的合法、合規發展提供了正向引導。

據中國信息安全測評中心助理研究員楊詩雨介紹，鑒于國內外漏洞治理的相關經驗，發展國家、社會、企業等多平臺“協同”機制，也將為白帽子等主體提供更廣闊的發展空間。

而有關滲透測試的合法邊界，360法律研究院資深研究員馬可分析，物聯網和人工智能等的發展，會導致滲透測試在進行授權模式建立過程中，不僅需考慮傳統的資產測試與保護邊界，還將不得不增加考慮人身安全等更為復雜的測試環境。加之，網絡安全是個整體，你中有我，我中有他，通過對第三方漏洞平臺，以及平臺注冊白帽子的一系列、多層次的資質認證、認可，最終形成白帽子和漏洞平臺的信任機制，可能是一個值得關注和努力的正確方向。

規范和邊界的探尋之外，激勵制度和適度容忍空間的賦予同樣推動著白帽子正向評價的形成。胡曉娜補充稱，做好對“白帽子”群體的扶持和激勵，提升整個行業白帽待遇，對構建良性的漏洞生態具有積極的作用。基于此，360集團不斷通過多種渠道發聲，希望建立可落地，可執行的漏洞標準和管理辦法，對行業進行必要引導和規范，從而應對未來更加多元、復雜、嚴峻的網絡空間安全風險。

今年兩會期間，360集團創始人、董事長周鴻祎還帶來了一份《關于網安特殊人才認定和激勵政策的提案》。他建議，要采取特殊人才認定和激勵政策，提高社會對這個群體的理解和認可，也增強他們對國家的認同感，激勵他們為網絡強國建設做貢獻。

漏洞是個永恒的話題，而漏洞的發現更多要靠人來解決。因此，只有通過對白帽子的正向激勵政策和負面行為限定評價，對行業進行必要引導和規范，才能應對未來更加多元、復雜、嚴峻的網絡安全風險。

關鍵詞： 漏洞生態治理 白帽黑客