规定|漏洞管理进入规范化时代，白帽军团或将成为网安重要力量( 二 )_管理局|工业和信息化部

文章插图
360集团副总裁、首席安全官杜跃进在2021世界人工智能大会上演讲360集团副总裁、首席安全官杜跃进表示，如果不对网络产品安全漏洞进行规范管理，任何人、组织或者机构都能随心所欲地发布网络安全漏洞，并且恶意夸大操作，把网络安全行业当成自身扬名立万的名利场。而《规定》的出台，将安全漏洞的修补工作放在发布之前，即安全漏洞没有修补就不能发布，尽可能减少给可攻击组织提供网络攻击的时间差，让大家带着更负责的态度去发现、发布安全漏洞。

文章插图
【规定|漏洞管理进入规范化时代，白帽军团或将成为网安重要力量】制度激励白帽子参与漏洞发现
《规定》中还有两处内容也格外引人注意：一是鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞；二是鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制，对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。在此之前，第三方漏洞披露平台的存在，以及相关组织和个人自发参与安全漏洞挖掘，尚属于法律及政策管辖的灰色边缘地带。胡晓娜表示，《规定》的出台表明国家层面开始采用非常开放的态度，鼓励相关组织和个人参与安全漏洞挖掘，并肯定相关从业者及企业在安全漏洞挖掘、修补、通报方面做出的重要贡献。此外，之前绝对大多数安全漏洞挖掘、修补、通报工作，均属于具备高度社会责任感的网络安全企业自发或公益行为。这是因为漏洞响应平台对漏洞收集、对“白帽子”的激励及平台运营均需要投入巨额成本，一般的组织及个人难以承受。因此，《规定》对网络安全企业及个人贡献的认可，能够更好地激发和引导企业, 在提升重视网络安全的同时，也提升了企业自身的网络安全硬实力，以“科技报国、技术向善”、”不拘一格降人才”的视角，提升企业及个人对于网络安全事业的参与感、荣誉感和使命感，发动广大安全研究员的技术力量，进行漏洞众包众测。这也是网络安全企业用实际行动贯彻国家总体安全观、坚持系统思维构建大安全格局的具体体现。例如，360成立16年来，已投入200多亿打造安全能力框架，拥有东半球最强“白帽子军团”，漏洞挖掘及研究人员高达300余人，具备世界级的漏洞挖掘能力。公司至今累计获得来自微软、谷歌、苹果等全球顶级公司约2000次官方漏洞致谢，包揽微软、谷歌、苹果史上最高漏洞奖励，漏洞致谢奖励位列全球第一。

文章插图
数字化时代，一切皆可编程，这意味着“漏洞无处不在”。通用及开源软件漏洞若被攻击者利用，后果极其严重。360看到这一领域的空白，成立了国内首个开源漏洞响应平台---360BugCloud。截至目前，平台已累计收录的开源通用软件漏洞高危率高达98%，累计发放漏洞赏金2600多万，漏洞的提交成功守护了上千万终端，涉及政府、企、事业等上百余家单位，覆盖能源、金融、交通、医疗、电信、教育众多关键行业领域，挽救全球数亿的价值损失。360相关负责人表示，未来360将发挥自身在网络安全领域的核心能力，结合广大安全研究员力量，全力支持工业和信息化部网络安全威胁和漏洞信息共享平台建设，为网络强国及数字中国建设提供力量。