乌云漏洞平台：一枚孢子如何生长成群落

sopholi · 2017-7-5 11:30:24

　　摘要：一个看起来不应该存在在这片土地的网站，就这样度过了生命中的第五年，并愈发绽放出生机。这就是乌云，一个不一样的漏洞平台。
　　让安全领域变得公开透明，打破行业的信息不对称，又能得到官方支持——无论怎么看，这样的事都不大可能发生在眼下这片土地上。
　　可乌云做到了。
　　2012 年，CSDN 数据泄露事件让乌云名声大噪，此后优酷接口漏洞、微博控制漏洞、豌豆荚应用缺陷各类漏洞频繁曝出。今年的携程信用卡信息泄露事件掀起高潮，年底又曝出 12306 密码泄露、联通系统漏洞。
　　乌云让越来越多的企业和用户意识到，这些与生活如此接近的服务存在这么多被忽视的安全问题。
　　仅仅五年时间，一个小小的网站就这样不问出处，在鱼龙混杂的安全市场中找到自己的位置，并迅速成长为中国最大的安全漏洞报告平台。
　　这五年间，乌云究竟发生了什么？一枚不一样的孢子生长成群落，又究竟需要多少运气？
　　诞生：一枚不一样的孢子
　　孢子 (spore) 是脱离亲本后能直接或间接发育成新个体的生殖细胞。
　　世界的开始是一枚孢子。
　　如果你看过《浪客剑心》，一定会记得那个手执逆刃、脸上有十字刀疤、名叫绯村剑心的男人，「剑心」——也正是乌云创始人方小顿更为人所知的 ID。

《浪客剑心》中的绯村剑心

　　行侠仗义、不问利益，不断追寻着自己所做事情的意义，大概所有真正身怀绝技的安全技术爱好者们多半都有这样的任侠之梦。
　　不过时间到八九年前，在当时的中国互联网生态下比起如何在竞争中活下去，安全还并不是大多数企业必须严肃考虑的议题。
　　对于那些因为热爱而投身计算机、又热衷网络安全的技术高手，现实世界所能给予的出路似乎只有两条：要么前往「相对封闭的安全研究机构」，为国家信息安全服务但从此失去自己的声音；要么就是涉足「黑产」，攫取贩卖个人信息、盗取他人财产，为生计出卖自己的尊严。
　　网络安全狂热者们就像一颗颗散落各处的独孤孢子，游荡在在浩瀚的互联网世界。但彼此之间暗藏着聚成群落的向心力——这种难以言说的力量如此强烈，以至于产生了第三种可能。
　　而方小顿——这个来自湖北黄冈、学习化学的 15 岁大学生，在发现 Discuz! 漏洞后迈入安全世界的大门，并最终获得了进入百度安全部门的通行证。这也让他有机会结识到更多志同道合的人。
　　由于网络安全工程师们数量稀少，惺惺相惜的彼此形成了紧密的技术圈子。尽管公司之间拥有不可逾越的「高墙壁垒」，但热衷技术的人心之间并没有隔阂。BAT、新浪、搜狐等几家大公司的安全人常常在自建的群组中讨论安全问题：「这个问题大家遇到过么？」「这个漏洞如何修补？」
　　隐藏在 ID 之后这些并不具名的个人，在对技术的共同热爱下找到了久违的自由和切磋成长的环境。在这个圈子里，人们不必理会背后大公司的利益，技术与代码胜于雄辩。
　　在百度工作三年之后，大公司的生活开始让方小顿感到困惑——他意识到安全领域的封闭无力，又充满各方的误解。
　　在大公司的决策者眼中，安全是一件看上去「什么都没发生」的工作：主观上，决策者们希望安全事件什么也别发生；可若安全部门真的全年没有「动静」又会被质疑公司花出的成本都去了哪儿。安全是一件需要规范化成体系完成的精密工程，但多数公司意识不到，能够养得起成规模安全团队的公司在业界也是凤毛麟角。
　　另一方面，安全领域是信息非常不对称的：不规范的安全公司出于利益利用很小的漏洞敲诈企业，攻击者与防御者的信息不对称还会造成信息堡垒。同时，人们在不断将生活信息搬运到网络平台的这个时代，信息安全问题却被大多数企业和个人低估，用户对企业安全如何也并不清楚。
　　方小顿意识到只让这些知识和技术传递在小圈子之间是不行的，互联网是一个泛群体，一家公司能做到的事情是及其有限。相应的「自由」氛围应该扩大化——让更多人了解安全领域，并帮助感兴趣的人们学习到相关知识并深入其中快速成长，同时更多的人才能了解到这项工作的重要性。不仅仅是个人和企业，只有这种方式才能让安全这个尚显「稚嫩」的行业健康发展。
　　「封闭一定是不健康的」，「每个人都可以参与其中，行业才有机会。」方小顿如是解读乌云的初衷。
　　能承担这些责任的，绝不可能是任何一家大公司。
　　就这样，乌云诞生了。
　　起步：乌云是如何运转的

　　在这个不做「云」都不好意思和人家打招呼的时代，与网络安全相关，无论是技术还是思路都会有点黑色的感觉，所以自然出现了乌云。
　　「乌云就是想告诉大家，云技术是有风险的，乌云就是一个预警。」
　　起初，乌云还只是由「剑心」方小顿、「疯狗」孟卓两人在业余时间维护、类似个人网站一样的存在，活跃用户也还只是当初群组里的那些「老人」。由于乌云社区里没有真名，只有 ID，使得乌云上的每个用户都是不需担心现实世界利益纠葛的「自由」个人，每个人都可以以个人身份提交任何自己发现的漏洞。
　　在乌云的网站上，漏洞上报经审核后会出现在「最新提交」一栏中，厂商领取确认后则会下移到「最新确认」，漏洞修补后则会进入「最新公开」，一般会经历 45 天的周期：

　　1. 5 天厂商确认周期（5 天内未确认视为忽略，直接公开）；
　　2. 10 天后向核心及相关领域专家公开；
　　3. 20 天后向普通白帽子公开；
　　4. 30 天后向实习白帽子公开；
　　5. 45 天后向公众公开；
　　6. 期间厂商可自行提前公开，向普通白帽公开的时候可以使用乌云币购买提前查看漏洞细节。

　　在 5 天厂商确认周期中，乌云会积极联系厂商反应、并提醒修复漏洞。已注册过的厂商则会收到提醒，目前乌云的注册厂商已经有 630 条记录。
　　随着乌云上漏洞信息的积累，越来越多对该领域感兴趣的人们在其中学习交流、上报漏洞，滚雪球般的，乌云慢慢超越技术圈子，开始越来越多的出现在众人眼前。
　　在乌云的准则中有一条铁律，便是漏洞信息永不会被删除。这不仅是为保持平台的公正，更重要的是可以让更多从事安全工作的研究人员能够学习到这些内容，绕过别人曾掉过的「坑」。

乌云漏洞平台：一枚孢子如何生长成群落

所属分类: 问答交流

新帖推荐: 30日

推荐作品