奇安信：学生是“白帽子”黑客的首要来源 未来职业化成为可能

在网络安全产业快速发展的背景下，与恶意利用系统漏洞搞破坏的骇客相对，有一群“白帽子”正在快速发展。

何谓“白帽子”？奇安信集团副总裁、补天漏洞响应平台负责人张卓在接受《每日经济新闻》记者采访时表示：“‘白帽子’基本都是走合法途径去给企业报漏洞，不干黑产相关的事。”

9月17日，“2021补天白帽大会”在京召开。会上，张卓表示，“增长”是白帽子行业发展的关键词之一。“2018年补天漏洞平台‘白帽子’数量（是）4万人，仅仅三年，2021年增长到8.7万人，另外，‘白帽子’人数增速也在不断提升。”

根据9月1号正式实施的《网络产品安全漏洞管理规定》，“白帽子”一方面成为受到鼓励的民间力量，另一方面也受到明确的约束与规定。那么，该规定的出台会给“白帽子”带来哪些影响？

奇安信集团董事长齐向东表示：“过去我们对漏洞挖掘的行为没有进行明确指引，‘白帽子’黑客百无禁忌。其中免不了有人会因为挖漏洞方法不得当触犯法律，这种情况就相当于迷雾中行走，不小心碰到高压线，非常不利于民间‘白帽子’的成长。漏洞管理规定将‘白帽子’的行为正当化、合法化，给‘白帽子’提供了安全感。”

同时，张卓也直言：“从‘白帽子’从业时间来看，整个行业还是一个新兴产业；‘白帽子’并不是都是干网络安全的，而是来自于各行各业，其中学生居多。”根据补天漏洞响应平台发布的《中国白帽人才能力与发展状况调研报告》（以下简称调研报告），仅有约26.4%的“白帽子”来自专业的网络安全企业，学生群体占比则高达36.7%，是“白帽子”人才的首要来源。

在张卓看来，未来“白帽子”已经有了成为正式职业的可能。

不过，目前国内第三方漏洞响应平台施行的还是注册制，如果“白帽子”职业化，注册制是否要改成雇佣制？张卓对《每日经济新闻》记者表示：“不一定，比如家政、厨师等职业都不完全是雇佣制，但是职业资质、考级、评级是有的。”

此外，调研报告显示，“白帽子”发现安全漏洞后，有40.5%首选国内第三方漏洞响应平台进行提交，CNVD/CNNVD等国家漏洞响应平台排名第二，占比为33.3%，约有17.6%的“白帽子”会首选向企业自建SRC（安全应急响应中心）或通过企业官方渠道进行提交。

张卓告诉记者，对“白帽子”来说，选择平台最关注两点，一是奖金金额，二是平台本身的知名度和可信度。“可信度是什么意思？很多时候白帽子给企业报了个洞，企业就说这不是洞，但实际上它就是个洞，悄悄地修了，所以在信誉上是有问题的。第三方平台是比较公允地去评价，不牵扯企业侧的一些利益。”张卓介绍道。

张卓还表示，对企业来说，自建SRC成本较高，“第一要建平台，第二要有维护的人、运营的人，有时候选择第三方是个不错的选择”。

封面图片来源：摄图网