日期:
来源:奇安信集团收集编辑:
“从2013年3月平台成立并收到第一枚漏洞至今,总共有超过十万名白帽子齐聚补天平台。”3月28日,补天平台十周年生日会在京举行。在赛博昆仑CTO、昆仑实验室负责人古河、Theloner安全团队队长月神、WgpSec狼组安全团队队长Keac以及数百位白帽专家的见证下,补天平台如同一列快车,载着白帽子飞驰而过,向上生长。
“长期以来,补天平台一直致力于搭建供白帽子之间相互交流的桥梁。”奇安信攻防PBU总经理蔡玉光在致辞中表示,白帽子作为网络安全人才的中坚力量,通过运用自己的技能和知识,模拟攻击、发现和报告系统中存在的漏洞,从而帮助企业和组织抢在攻击者前面修补这些漏洞,大大提高了系统的安全性。10年来,补天平台累计报送漏洞超过100万枚。为给白帽子营造实战化的学习氛围和工作环境,补天平台相继推出的公益测试、专属SRC、众测服务、五星计划等等项目,引导白帽子们解决实际的网络安全问题,见证了一名又一名白帽子从“菜鸟”到“大神”的蜕变之路。
“对于白帽子而言,漏洞挖掘不仅仅是兴趣所致,更能将漏洞的价值最大化。”作为一名久经沙场的白帽子,古河回忆起拿到第一笔漏洞奖金时依然兴奋有余,“对于所有白帽子而言,挖到生涯第一枚漏洞、拿到第一笔奖金,这就如同翻开了人生新的一页,从此走上了维护网络安全的正义之路。”对于补天平台,古河并不吝惜赞美之词:“在这个过程中,补天平台一直发挥着重要的作用。作为最早成立的第三方漏洞响应平台之一,补天平台同其他SRC一道,为白帽子们提供了一个安全的漏洞提交平台,并不断推动白帽文化的发展。”除古河外,Theloner安全团队队长月神、WgpSec狼组安全团队队长Keac以及奇安信网络安全部应用安全工程师wzg、补天漏洞响应平台技术负责人局外人都分享了各自工作中,第一手的安全研究成果。“补天平台始终把白帽子的利益放在首位,以打造一个健康、繁荣的白帽子社区为己任,这也是补天平台一直坚持不懈、不断创新的理念。”补天平台负责人田朋说,回顾过去的十年,从补天校园行活动、补天白帽大会到冬奥网络安全卫士,从最初的漏洞奖励计划到覆盖全品类的漏洞“五星计划”,补天平台累计发放漏洞奖金过亿元,同时也涌现出多名年度“百万白帽”(即年度奖金过百万元),推动了越来越多的年轻人加入到白帽子的行列中。“实际上,1亿元漏洞奖励还是远远不够的。”田朋补充道,在现场发布的补天“向上生长”团队奖励计划对现有的漏洞奖励有了大幅提升,除了带来无上限的漏洞奖金池之外,还将为白帽子提供独家学习资源、BCS等顶级行业峰会门票等学习交流的机会。与此同时,为了让白帽子拥有更广阔的舞台,补天平台同样十分重视SRC的建设。据田朋介绍,入驻补天平台的SRC数量已经接近100家,SRC总数从十年前的寥寥几家完成了上百倍的增长(包括自建SRC70余家)。但向上生长的路总是充满挑战的。随着攻防对抗的不断升级,一方面,白帽子应当具备发现高级安全漏洞的能力,如浏览器、操作系统内核漏洞等;另一方面,白帽子还必须具备在实战化的业务环境下,实现漏洞有效利用的能力。正如田朋所说,单纯的漏洞挖掘并不是终点,新的网络安全形势对实战化能力提出了更高的要求。为全面描述我国白帽人才实战能力情况,为网络安全人才发展及能力培养提供重要参考和依据,补天平台于2021年发布了首份“实战化白帽子能力图谱”。该图谱综合考虑了掌握技能的难易程度、市场人才的稀缺程度、以及实战化能力的有效性三方面因素,将白帽子的实战化能力从低到高依次分为基础能力、进阶能力和高阶能力。而在本次活动现场,补天平台联合爱奇艺安全应急响应中心、度小满安全应急响应中心、华为安全应急响应中心、快手安全应急响应中心、美团安全应急响应中心、陌陌安全、OPPO安全应急响应中心、奇安信集团安全应急响应中心、赛博昆仑、腾讯安全应急响应中心、网易安全中心、微博安全、小米安全中心、字节跳动安全响应中心、平安安全应急响应中心、斗鱼安全应急响应中心、货拉拉安全应急响应中心、BOSS直聘安全应急响应中心等18家企业合作伙伴联合发布《中国实战化网络安全人才能力白皮书》起草。
正如补天不遗余力像外界传递的那样,过去、现在和将来,补天平台只做三件事情:维护企业网络安全、降低漏洞被利用的风险、培养网络安全人才。