WooYun背后的阳光

摘自：知乎

作者：猪猪侠

        如果一天你突然发现，整个城市的商店和银行一到夜里就门户洞开，几乎所有地方都可以自由出入，你会做什么？有的人会选择肆意偷窃和破坏，也有的人会选择去提醒和修复这些问题。

        黑客里边的白帽子就是这样的一群人。他们有极强的安全敏感性，能很快发现潜藏的漏洞，却又能在利益的诱惑前，选择做正确的事情。顾城为他们写了一句诗(误)：黑夜给了我黑色的眼睛，而我却用它寻找光明。

乌云是什么？

        如果理解不了白帽子，可能你很难理解方小顿创立的乌云漏洞报告平台，很难理解为什么在漏洞很容易卖出好价钱的情况下，不以盈利为目的乌云已经坚持了5年，聚集11000多位白帽子，发现和报告了近11万个漏洞，除了将白帽子提交的漏洞及时通知厂商进行修复，避免造成更大的影响外，乌云有着更大的愿景。

“安全的问题，在于其封闭性，黑客本身是个很神秘的圈子。（而公众领域这边）每个人都担心出安全问题，但几乎每个人又都不知道安全问题到底是什么。” 信息的严重不对称，导致这个行业很难得到改善，掌握信息的人会利用信息进行牟利，而如果最终的使用者不关心安全问题，那么应用厂商就不会在这方面投入，如果企业本身不在乎安全问题，那么程序员写起代码来就更随意，同时大多数公司内部系统管理员与安全人员，他们没有来自行业与内部的竞争压力，为企业做安全都是“常规模式”，外加生搬硬套国外的标准做安全管理，日久天长会变得工作效率低下、不负责任。这样漏洞就越来越多，最终用户会为这些安全问题付出代价。

        乌云尝试以新的方式打破这个不对称：首先将白帽子和厂商联系起来，让厂商可以及时发现和修复问题，不再像以往被人黑了还不知道为什么；然后平台上积累的数万个真实漏洞，可供技术人员在开发产品时参考，不犯别人犯过的错误；最后乌云还会对一些新兴和频发的安全问题进行预警，帮助最终用户增强安全意识，使其在向企业提供个人信息的时候能意识到自己承担的风险。

        而当用户把安全性作为选择企业产品的考量之一时，企业就加大投入，开发人员就会有更多的资源和动力去处理安全问题，从而营造出越来越好的安全生态，促使这个生态形成，就是乌云要做的事情。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/