信息來源：比特網(wǎng)

3月，當(dāng)美國(guó)國(guó)防部宣布與HackerOne合作邀請(qǐng)黑客參與“Hack the Pentagon”的漏洞獎(jiǎng)勵(lì)計(jì)劃之后，讓HackerOne再次成為業(yè)界焦點(diǎn)。對(duì)于混跡于國(guó)內(nèi)外各漏洞眾測(cè)平臺(tái)的菜鳥，以個(gè)人之見和能力所及對(duì)HackerOne寫點(diǎn)介紹，談點(diǎn)感受。

1 公司介紹

HackerOne是一個(gè)總部位于美國(guó)舊金山的漏洞眾測(cè)公司，公司分部位于荷蘭格羅寧根。多家世界知名技術(shù)公司都使用HackerOne平臺(tái)，如Yahoo、Twitter、Adobe、Uber、facebook等。目前，HackerOne平臺(tái)注冊(cè)黑客共3000多人來自150多個(gè)國(guó)家，漏洞眾測(cè)合作企業(yè)達(dá)500多家。HackerOne是最早接受并利用黑客開展商業(yè)模式的公司之一。

2 創(chuàng)業(yè)歷史

2011年，20多歲的荷蘭黑客JobertAbma, Michiel Prins, 和Merijn Terheggen出于打賭，列出了他們計(jì)劃入侵的100家高科技公司清單，不久，他們就發(fā)現(xiàn)Facebook, Google, Apple,Microsoft, Twitter等其它95家公司的網(wǎng)絡(luò)系統(tǒng)中都存在不同程度的安全漏洞。他們將這一清單稱作“Hack 100”。

當(dāng)他們聯(lián)系這些公司時(shí)，有1/3的公司并不關(guān)注這些問題。另1/3的公司對(duì)他們表示感謝，但并未修復(fù)漏洞。而其余公司則試圖盡快解決漏洞。幸運(yùn)的是，沒人通知警察。

在處理Facebook漏洞時(shí)，他們與Facebook產(chǎn)品安全經(jīng)理Alex Rice結(jié)識(shí)，共同組成公司合伙人，于2012年成立HackerOne。由Alex Rice擔(dān)任公司CTO，Merijn Terheggen任CEO，Jobert Abma任技術(shù)領(lǐng)導(dǎo)，Michiel Prins為產(chǎn)品經(jīng)理。2014年，微軟前首席安全策略師(CPO)Katie Moussouris 加盟成為其 CPO。2015年底，MySQL和Eucalyptus前CEO Marten Mickos 出任HackerOne 公司CEO。

3 投資情況

2014年5月，HackerOne獲得由Benchmark領(lǐng)投的900萬美元A輪投資;2015年6月，HackerOne獲得2500萬美元B輪投資，由New Enterprise Associates領(lǐng)投，投資方有Nicolas Berggruen，Brandon Beck，David Sacks，Jeremy Stoppelman，Drew Houston，Marc Benioff，Benchmark等。

4 盈利模式

HackerOne以信息安全為重，通過在企業(yè)和黑客之間建立漏洞獎(jiǎng)勵(lì)平臺(tái)，致力實(shí)現(xiàn)企業(yè)和黑客的利益雙贏。HackerOne通過建立的漏洞眾測(cè)平臺(tái)，由眾測(cè)企業(yè)向黑客支付發(fā)現(xiàn)漏洞的獎(jiǎng)勵(lì)，HackerOne則從企業(yè)獎(jiǎng)勵(lì)中抽取 20% 的費(fèi)用。

另外，HackerOne還通過向企業(yè)提供付費(fèi)服務(wù)模式，如漏洞訂閱服務(wù)、漏洞披露指導(dǎo)、安全咨詢等。目前，HackerOne已幫助500多家企業(yè)找出2萬多個(gè)漏洞，向3200多名獨(dú)立安全研究員發(fā)放了600多萬美元的獎(jiǎng)勵(lì)，單個(gè)漏洞獎(jiǎng)勵(lì)最多達(dá)到3萬美元。

5 服務(wù)方式

For hackers:

與通常的眾測(cè)平臺(tái)一樣，注冊(cè)，加入項(xiàng)目，提交漏洞;

For companies:

對(duì)于眾測(cè)企業(yè)，HackerOne提供了四種服務(wù)模式：Security@、 Professional、Enterprise、Fully Managed，HackerOne對(duì)這幾種模式的漏洞披露、漏洞管理、安全性等方面提供不同的服務(wù)，以下是不同服務(wù)模式的對(duì)比：

Security Page頁面包含公司情況、披露政策、希望邀請(qǐng)的黑客、漏洞規(guī)則等關(guān)鍵信息。

Fully Managed是HackerOne的付費(fèi)服務(wù)，針對(duì)那些想要對(duì)漏洞情況進(jìn)行進(jìn)一步篩查和校驗(yàn)的企業(yè)。企業(yè)通過Fully Managed模式可選擇與HackerOne推薦的世界級(jí)安全咨詢合作機(jī)構(gòu)簽訂不定期的信息安全服務(wù)。

Security@ 是HackerOne社區(qū)的安全項(xiàng)目快速查詢目錄，通過該查詢目錄可以快速找到在HackerOne平臺(tái)上開展漏洞眾測(cè)項(xiàng)目的企業(yè)，方便黑客提交漏洞。

6 漏洞保密原則

HackerOne只為“漏洞協(xié)作披露”項(xiàng)目提供處理工具，網(wǎng)站實(shí)行漏洞庫(kù)訪問控制權(quán)限，HackerOne雇員無權(quán)查看任何廠商漏洞信息，HackerOne決不與其它第三方分享客戶的漏洞數(shù)據(jù)，并提倡以PGP加密方式提交漏洞信息。在漏洞未解決之前，所有提交漏洞信息除企業(yè)和漏洞提交者之外都不可見。

7 漏洞獎(jiǎng)勵(lì)價(jià)格

(1)依靠提交的漏洞質(zhì)量來定。廠商給出的漏洞價(jià)格可以參考幾個(gè)方面：漏洞嚴(yán)重性、對(duì)最終用戶或客戶的影響范圍、項(xiàng)目預(yù)算、項(xiàng)目階段及保密性、廠商漏洞披露計(jì)劃成熟度等。

(2)為了吸引和激勵(lì)黑客，HackerOne規(guī)定每個(gè)漏洞獎(jiǎng)勵(lì)金額下限不低于100美元，針對(duì)大多數(shù)的一般漏洞，獎(jiǎng)勵(lì)金額范圍為$100-$1,000，當(dāng)然，HackerOne也提倡超出范圍重獎(jiǎng)某些嚴(yán)重漏洞?？紤]到不同漏洞對(duì)不同廠商的影響不一，如Clickjacking類型漏洞對(duì)某些企業(yè)來說很嚴(yán)重，但對(duì)其它企業(yè)來說只屬于informative類漏洞，因此，除規(guī)定100美金的下限外，HackerOne未針對(duì)不同漏洞類別設(shè)置最低獎(jiǎng)勵(lì)限制。獎(jiǎng)勵(lì)金額根據(jù)漏洞對(duì)廠商影響程度而定。

(3)針對(duì)幾類特別重要漏洞，為了提高獎(jiǎng)勵(lì)透明度和黑客期望值，HackerOne根據(jù)漏洞成熟度模型給出了一個(gè)以供企業(yè)參考的最低獎(jiǎng)勵(lì)結(jié)構(gòu)，當(dāng)然企業(yè)有權(quán)根據(jù)漏洞影響程度來上調(diào)最低獎(jiǎng)勵(lì)基準(zhǔn)。如最近Uber的一個(gè)XSS漏洞獎(jiǎng)勵(lì)就達(dá)7000美金。

8 安全性

(1)所有和HackerOne服務(wù)器平臺(tái)交流的信息都是加密的。安全團(tuán)隊(duì)可以使用HackerOne的IP白名單策略進(jìn)行權(quán)限訪問控制。

(2)HackerOne采用軍用級(jí)加密技術(shù)、雙因子認(rèn)證、單點(diǎn)登錄、ISO/IEC 27001信息安全管理體系認(rèn)證;

(3)HackerOne提倡企業(yè)遵守ISO/IEC 29147-2014 《信息技術(shù)-安全技術(shù)-漏洞披露標(biāo)準(zhǔn)》，同時(shí)通過自動(dòng)化平臺(tái)幫助指導(dǎo)企業(yè)進(jìn)行漏洞披露。ISO/IEC29147-2014標(biāo)準(zhǔn)的目的：為企業(yè)提供如何接收漏洞、發(fā)布漏洞解決方案的指導(dǎo)方針，為企業(yè)提供漏洞披露過程的相關(guān)信息和示例。

9 特色點(diǎn)之DASHBOARD

HackerOne的Dashboard功能是為了顯示企業(yè)提交漏洞和獎(jiǎng)勵(lì)金額的準(zhǔn)確信息，Dashboard還可以幫助企業(yè)確定和跟蹤軟件開發(fā)生命周期中的改進(jìn)領(lǐng)域。通過Dashboard，企業(yè)可以查看每天、每周和每月的漏洞趨勢(shì)和發(fā)展情況，數(shù)據(jù)產(chǎn)生的報(bào)告可下載為CSV格式保存。另外，如果企業(yè)需要更先進(jìn)和及時(shí)的報(bào)告要求，可以通過HackerOne的API把Dashboard數(shù)據(jù)整合到第三方報(bào)告工具中。

Dashboard的數(shù)據(jù)指標(biāo)包括：解決的漏洞數(shù)、獎(jiǎng)勵(lì)金額總和、黑客致謝、獎(jiǎng)勵(lì)的報(bào)告數(shù)、獎(jiǎng)金平均數(shù)、支付與漏洞解決占比、漏洞響應(yīng)時(shí)間、漏洞解決時(shí)間、報(bào)告狀態(tài)圖、漏洞響應(yīng)與解決時(shí)間狀態(tài)圖、獎(jiǎng)金支付走勢(shì)圖、黑客獲取金額排行圖、黑客獎(jiǎng)勵(lì)次數(shù)排行圖。

10 特色點(diǎn)之漏洞協(xié)調(diào)成熟度模型

HackerOne根據(jù)長(zhǎng)期的漏洞提交模式分析，發(fā)布了針對(duì)漏洞協(xié)作披露的漏洞協(xié)調(diào)成熟度模型(Vulnerability Coordination Maturity Model，VCMM)。HackerOne認(rèn)為，影響漏洞協(xié)作披露的因素主要包括5個(gè)方面的能力領(lǐng)域：組織、工程、交流、分析與激勵(lì)，每個(gè)領(lǐng)域又包含基本、高級(jí)和專家3個(gè)成熟度等級(jí)，VCMM模型目的在于幫助企業(yè)評(píng)估漏洞協(xié)調(diào)機(jī)制，直觀地識(shí)別出需要改進(jìn)的領(lǐng)域，指導(dǎo)企業(yè)進(jìn)行內(nèi)外部組織能力提升，更好地消除安全漏洞隱患。

HackerOne的VCMM針對(duì)社會(huì)面的公開測(cè)試模型為：VCMM-survey，當(dāng)然除此之外，HackerOne還針對(duì)在其平臺(tái)合作的眾測(cè)企業(yè)提供漏洞信息量化模型指標(biāo)。以下是VCMM5個(gè)能力領(lǐng)域的等級(jí)介紹：

根據(jù)5方面的能力領(lǐng)域分值，VCMM可以確定企業(yè)在漏洞協(xié)調(diào)管理方面存在的問題和急需改進(jìn)的領(lǐng)域，如以下為Adobe公司某個(gè)時(shí)期的VCMM模型圖。

11 HackerOne漏洞披露原則

HackerOne聲明的漏洞披露原則如下：所有的技術(shù)都包含漏洞，如果你發(fā)現(xiàn)了一個(gè)安全漏洞，我們希望幫助到你。通過HackerOne平臺(tái)項(xiàng)目提交漏洞或注冊(cè)成為眾測(cè)企業(yè)，我們希望你閱讀并同意以下準(zhǔn)則。

(1)披露哲學(xué)

我們相信漏洞發(fā)現(xiàn)者和眾測(cè)企業(yè)之間的相互尊重和透明度是有效漏洞披露流程的前提。

漏洞提交者須：尊重規(guī)則、尊重隱私、保持耐心、友好;

眾測(cè)企業(yè)須：安全為重、尊重漏洞提交者、獎(jiǎng)勵(lì)漏洞提交者、友好。

(2)漏洞披露流程：

提交漏洞的報(bào)告內(nèi)容將會(huì)立即提供給眾測(cè)企業(yè)的安全團(tuán)隊(duì)，在非公開狀態(tài)下，讓企業(yè)有足夠的時(shí)間驗(yàn)證漏洞并發(fā)布修補(bǔ)公告。在漏洞提交報(bào)告關(guān)閉后才能進(jìn)行公開披露。

一般情況：如果雙方都不提出異議，漏洞提交報(bào)告的內(nèi)容將在30天內(nèi)公開。

雙方協(xié)議：我們鼓勵(lì)漏洞提交者和企業(yè)就披露期限有良好的溝通協(xié)商，如果雙方無異議，披露時(shí)間可按協(xié)商時(shí)間而定。

保護(hù)性披露：如果企業(yè)發(fā)現(xiàn)所提交的漏洞正在被積極開發(fā)利用并對(duì)公眾造成傷害，企業(yè)可以會(huì)立即向社會(huì)發(fā)布漏洞修補(bǔ)公告，以便用戶可以采取保護(hù)措施。

延伸：由于復(fù)雜性等因素的影響，一些漏洞將需要比30天更長(zhǎng)的時(shí)間來進(jìn)行修補(bǔ)。在這種情況下，漏洞報(bào)告還將繼續(xù)保密，以確保企業(yè)安全團(tuán)隊(duì)有足夠的時(shí)間來解決問題，同時(shí)，我們鼓勵(lì)企業(yè)安全團(tuán)隊(duì)與漏洞提交者保持溝通。

最后的手段：如果180天之內(nèi)，眾測(cè)企業(yè)安全團(tuán)隊(duì)無法或不愿提供一個(gè)確切的漏洞披露時(shí)間表，該漏洞的提交者有權(quán)公開漏洞內(nèi)容。我們認(rèn)為，在這種極端情況下，保持對(duì)公眾透明是最好的方式。

12 HackerOne與其它眾測(cè)平臺(tái)的橫向比較

2015年8月，賓夕法尼亞州立大學(xué)曾對(duì)幾個(gè)著名的漏洞眾測(cè)平臺(tái)進(jìn)行過研究分析，研究涉及眾測(cè)平臺(tái)提交的漏洞數(shù)、注冊(cè)白帽人員、合作客戶、漏洞獎(jiǎng)金等，國(guó)內(nèi)平臺(tái)也包括在內(nèi)，以下是HackerOne的各種指標(biāo)對(duì)比圖：

從以上指標(biāo)可以看出，HackerOne平臺(tái)的白帽數(shù)量在公司創(chuàng)立之初時(shí)呈緩慢增長(zhǎng)態(tài)勢(shì)，另外，只有極少數(shù)機(jī)構(gòu)獲得的漏洞報(bào)告數(shù)較多，如twitter、facebook等財(cái)大氣粗而霸氣的明星企業(yè);但是，從白帽與漏洞線性圖可以看出，HackerOne平臺(tái)的精英黑客較多，部分黑客長(zhǎng)期活躍于平臺(tái)，并且提交的漏洞質(zhì)量較高。研究結(jié)果表明，國(guó)內(nèi)眾測(cè)平臺(tái)的白帽數(shù)量相對(duì)較多，也比較活躍，但與國(guó)外眾測(cè)平臺(tái)相比，漏洞獎(jiǎng)金差距較大，還有待提高。

13 個(gè)人觀點(diǎn)

安全保密：HackerOne只提供漏洞報(bào)告、處理、咨詢平臺(tái)，HackerOne在無授權(quán)情況下無法訪問查看眾測(cè)企業(yè)漏洞信息，提交漏洞內(nèi)容只有在完全解決之后才會(huì)公開。最重要的一點(diǎn)，HackerOne平臺(tái)采用加密方式進(jìn)行信息交互傳輸，最大程度保護(hù)白帽子信息;

漏洞獎(jiǎng)勵(lì)：從最低獎(jiǎng)勵(lì)金額100刀就能初略反映出老美對(duì)安全的重視程度，另外，HackerOne對(duì)幾類重要漏洞給出的參考性獎(jiǎng)勵(lì)結(jié)構(gòu)對(duì)白帽子們來說也是相當(dāng)具有吸引力的，如XXS(critical)和CSRF(critical)類漏洞能達(dá)到2500 刀，所有XSS類型漏洞為1000刀，雖然只是參考，但如果企業(yè)的最低獎(jiǎng)勵(lì)金額達(dá)不到這種標(biāo)準(zhǔn)，那么，企業(yè)信任度和眾測(cè)吸引力將會(huì)受影響，當(dāng)然白帽積極性也不會(huì)太高。如最近Uber的一個(gè)XSS漏洞獎(jiǎng)勵(lì)就達(dá)7000美金，另據(jù)HackerOne平臺(tái)聲稱有些高級(jí)黑客每年能賺20多萬美元，單個(gè)漏洞獎(jiǎng)勵(lì)曾達(dá)3萬美元。

專業(yè)合規(guī)性：參與眾測(cè)的廠商大部分是知名和業(yè)界創(chuàng)新企業(yè)，這些企業(yè)具備的市場(chǎng)占有率要求企業(yè)對(duì)安全必須要有足夠高的重視，當(dāng)然除了認(rèn)同HackerOne的披露政策外，這些企業(yè)在HackerOne上的眾測(cè)項(xiàng)目還有自己的規(guī)則，比如，漏洞有效性、漏洞報(bào)告模板、漏洞測(cè)試規(guī)則等。作為白帽子們，HackerOne會(huì)定期對(duì)所提交漏洞的有效性進(jìn)行評(píng)定，結(jié)合積分致謝等情況，作為白帽子的等級(jí)聲譽(yù)，也作為某些邀請(qǐng)項(xiàng)目對(duì)白帽子的考核指標(biāo)。

法律界定性：這可能都是國(guó)內(nèi)外眾測(cè)平臺(tái)面臨的一個(gè)問題吧。首先，加入HackerOne眾測(cè)項(xiàng)目的企業(yè)得遵守 HackerOne的披露規(guī)則，做到HackerOne 、企業(yè)和白帽子三方共同認(rèn)可眾測(cè)項(xiàng)目，最大程度地保護(hù)白帽子;另外，HackerOne 認(rèn)為互聯(lián)網(wǎng)世界就是未來信息戰(zhàn)的前沿陣地，而黑客們就是士兵和武器制造者，如何贏得或征募黑客參與防衛(wèi)，當(dāng)前可能需要對(duì)現(xiàn)行的法律進(jìn)行修改，以消除“安全防護(hù)”和“犯罪”之間的模糊界限，鼓勵(lì)安全研究。HackerOne認(rèn)為白帽子們利用稀缺珍貴的技術(shù)發(fā)現(xiàn)漏洞保護(hù)信息安全，這本身就是一個(gè)有利企業(yè)和公眾的事情，如果白帽安全者能發(fā)現(xiàn)漏洞，其它壞人也可以發(fā)現(xiàn)，然而美國(guó)現(xiàn)行的計(jì)算機(jī)法律還未對(duì)白帽安全研究者給予明確保護(hù)。

2015年5月，美國(guó)信息安全界提交了針對(duì)安全研究的豁免條款修訂意見之后， 美國(guó)版權(quán)局修訂了《數(shù)字千年版權(quán)法案》，加入了針對(duì)軟件安全研究的免責(zé)說明。這對(duì)漏洞眾測(cè)的未來，可能是一種進(jìn)步。HackerOne 希望安全研究能受到法律的合法保護(hù)，并呼吁現(xiàn)行和未來的法律體系能為安全研究者創(chuàng)建一個(gè)良好的研究氛圍。

用戶體驗(yàn)：總體來講，HackerOne的用戶體驗(yàn)度還是蠻好的，從注冊(cè)、提交漏洞、信息接收和項(xiàng)目邀請(qǐng)等方面來講，都能站在白帽和企業(yè)的角度來提供服務(wù)和考慮問題;另外白帽和企業(yè)之間的交流、獎(jiǎng)勵(lì)機(jī)制、漏洞調(diào)解都比較及時(shí)、透明和公開。其次，從HackerOne網(wǎng)站架構(gòu)情況也可以體現(xiàn)出HackerOne具備的良好用戶體驗(yàn)功能。

以上就是對(duì)HackerOne的一些淺略介紹和分析，相比較而言，國(guó)內(nèi)眾測(cè)平臺(tái)的發(fā)展也是相當(dāng)不錯(cuò)的。就國(guó)內(nèi)眾測(cè)廠商來說，筆者對(duì)漏洞盒子比較熟悉，從其企業(yè)客戶對(duì)眾測(cè)服務(wù)的效果反饋和近年來迅速提升的接受度上來說，眾測(cè)平臺(tái)的存在價(jià)值毋庸置疑。

就像HackerOne CEO Marten Mickos說的，漏洞眾測(cè)平臺(tái)的未來是生機(jī)蓬勃的，當(dāng)然，眾測(cè)的良好生態(tài)發(fā)展需要社會(huì)整體信息安全重視度、企業(yè)責(zé)任心、白帽技能、政策法規(guī)等因素的共同改善和提升。作為白帽子的我們?cè)谂μ岣呒寄艿耐瑫r(shí)，也不要忘記加入國(guó)內(nèi)優(yōu)秀眾測(cè)平臺(tái)為信息安全奉獻(xiàn)自己的微薄之力。