3月30日,首个面向全球白帽和技术精英开放的、专注于漏洞响应和防护的全球性安全行业大会——补天白帽大会在深圳举行。在大会的对话环节, 有关白帽子权益保护的话题引发关注。公安部第三研究所网络安全法律研究中心主任黄道丽指出,国家现有法律对白帽并没有明确定义,黑与白是一线之隔,白帽要更好地保护好自己的权益,需要依靠漏洞平台,以实现漏洞挖掘与提交过程的优化,以及与国家监管部门的沟通。
补天白帽大会圆桌讨论
据介绍,白帽子是最近十几年才兴起的,目前更多是依靠行业的规定。“帽子的颜色不是由白帽自己定义的,这一部分是取决于厂商对漏洞挖掘行为的态度,还有更大一部分是取决于漏洞平台的保障力度,所以说白帽子不要单枪匹马。”
据悉,面对着复杂的网络安全环境,相关法律也在不断的完善。白帽子通常会涉及两个方面的法律风险,一个是《治安管理处罚法》第29条,一个是《刑法》第285、286条,今年6月之后还会涉及到《网络安全法》。这显示未来白帽子面临较为复杂的法律环境。
黄道丽认为,依靠补天这种漏洞平台的规则,可以做到负责任的漏洞披露,减少因为漏洞挖掘和批露给白帽子带来的法律风险。
基于过去两年跟白帽子打交道的感受,比亚迪安全工程师罗小平也高度赞赏了漏洞平台的价值。“从白帽跟企业共同对漏洞批露负责任的角度,360补天平台起了很大作用。”他认为,类似补天的这种漏洞平台在企业跟白帽之间建立了有效的沟通机制。企业可以通过这个平台发现漏洞,在一定时限或者一定技术水平层次上,通过平台的沟通机制把漏洞提出来。这样做,一可以保护企业的隐私,二能够有效提醒企业及时去修正;或者在没有能力修正时,可以找第三方公司修正漏洞。
360安全专家郑文彬则认为,对于负责任的漏洞提交,不仅白帽子负责任,厂商也要负责任。白帽子不能做非法的事情,但厂商也要对这个漏洞有更多负责的态度,这样白帽子在提交漏洞的过程能更加安全,最终才能更好地保障企业的安全。
上海交通大学网络信息中心信息安全负责人 姜开达则呼吁制定一系列规则,形成行业公约来引导白帽进行无害化的测试,以将问题充分暴露出来。白帽子也要负责任披露,及时把信息传递到相关的机构和厂商。
