信息來源：比特網(wǎng)

3月，當美國國防部宣布與HackerOne合作邀請黑客參與“Hack the Pentagon”的漏洞獎勵計劃之后，讓HackerOne再次成為業(yè)界焦點。對于混跡于國內(nèi)外各漏洞眾測平臺的菜鳥，以個人之見和能力所及對HackerOne寫點介紹，談點感受。

1 公司介紹

HackerOne是一個總部位于美國舊金山的漏洞眾測公司，公司分部位于荷蘭格羅寧根。多家世界知名技術(shù)公司都使用HackerOne平臺，如Yahoo、Twitter、Adobe、Uber、facebook等。目前，HackerOne平臺注冊黑客共3000多人來自150多個國家，漏洞眾測合作企業(yè)達500多家。HackerOne是最早接受并利用黑客開展商業(yè)模式的公司之一。

2 創(chuàng)業(yè)歷史

2011年，20多歲的荷蘭黑客JobertAbma, Michiel Prins, 和Merijn Terheggen出于打賭，列出了他們計劃入侵的100家高科技公司清單，不久，他們就發(fā)現(xiàn)Facebook, Google, Apple,Microsoft, Twitter等其它95家公司的網(wǎng)絡(luò)系統(tǒng)中都存在不同程度的安全漏洞。他們將這一清單稱作“Hack 100”。

當他們聯(lián)系這些公司時，有1/3的公司并不關(guān)注這些問題。另1/3的公司對他們表示感謝，但并未修復漏洞。而其余公司則試圖盡快解決漏洞。幸運的是，沒人通知警察。

在處理Facebook漏洞時，他們與Facebook產(chǎn)品安全經(jīng)理Alex Rice結(jié)識，共同組成公司合伙人，于2012年成立HackerOne。由Alex Rice擔任公司CTO，Merijn Terheggen任CEO，Jobert Abma任技術(shù)領(lǐng)導，Michiel Prins為產(chǎn)品經(jīng)理。2014年，微軟前首席安全策略師(CPO)Katie Moussouris 加盟成為其 CPO。2015年底，MySQL和Eucalyptus前CEO Marten Mickos 出任HackerOne 公司CEO。

3 投資情況

2014年5月，HackerOne獲得由Benchmark領(lǐng)投的900萬美元A輪投資;2015年6月，HackerOne獲得2500萬美元B輪投資，由New Enterprise Associates領(lǐng)投，投資方有Nicolas Berggruen，Brandon Beck，David Sacks，Jeremy Stoppelman，Drew Houston，Marc Benioff，Benchmark等。

4 盈利模式

HackerOne以信息安全為重，通過在企業(yè)和黑客之間建立漏洞獎勵平臺，致力實現(xiàn)企業(yè)和黑客的利益雙贏。HackerOne通過建立的漏洞眾測平臺，由眾測企業(yè)向黑客支付發(fā)現(xiàn)漏洞的獎勵，HackerOne則從企業(yè)獎勵中抽取 20% 的費用。

另外，HackerOne還通過向企業(yè)提供付費服務(wù)模式，如漏洞訂閱服務(wù)、漏洞披露指導、安全咨詢等。目前，HackerOne已幫助500多家企業(yè)找出2萬多個漏洞，向3200多名獨立安全研究員發(fā)放了600多萬美元的獎勵，單個漏洞獎勵最多達到3萬美元。

5 服務(wù)方式

For hackers:

與通常的眾測平臺一樣，注冊，加入項目，提交漏洞;

For companies:

對于眾測企業(yè)，HackerOne提供了四種服務(wù)模式：Security@、 Professional、Enterprise、Fully Managed，HackerOne對這幾種模式的漏洞披露、漏洞管理、安全性等方面提供不同的服務(wù)，以下是不同服務(wù)模式的對比：

Security Page頁面包含公司情況、披露政策、希望邀請的黑客、漏洞規(guī)則等關(guān)鍵信息。

Fully Managed是HackerOne的付費服務(wù)，針對那些想要對漏洞情況進行進一步篩查和校驗的企業(yè)。企業(yè)通過Fully Managed模式可選擇與HackerOne推薦的世界級安全咨詢合作機構(gòu)簽訂不定期的信息安全服務(wù)。

Security@ 是HackerOne社區(qū)的安全項目快速查詢目錄，通過該查詢目錄可以快速找到在HackerOne平臺上開展漏洞眾測項目的企業(yè)，方便黑客提交漏洞。

6 漏洞保密原則

HackerOne只為“漏洞協(xié)作披露”項目提供處理工具，網(wǎng)站實行漏洞庫訪問控制權(quán)限，HackerOne雇員無權(quán)查看任何廠商漏洞信息，HackerOne決不與其它第三方分享客戶的漏洞數(shù)據(jù)，并提倡以PGP加密方式提交漏洞信息。在漏洞未解決之前，所有提交漏洞信息除企業(yè)和漏洞提交者之外都不可見。

7 漏洞獎勵價格

(1)依靠提交的漏洞質(zhì)量來定。廠商給出的漏洞價格可以參考幾個方面：漏洞嚴重性、對最終用戶或客戶的影響范圍、項目預(yù)算、項目階段及保密性、廠商漏洞披露計劃成熟度等。

(2)為了吸引和激勵黑客，HackerOne規(guī)定每個漏洞獎勵金額下限不低于100美元，針對大多數(shù)的一般漏洞，獎勵金額范圍為$100-$1,000，當然，HackerOne也提倡超出范圍重獎某些嚴重漏洞。考慮到不同漏洞對不同廠商的影響不一，如Clickjacking類型漏洞對某些企業(yè)來說很嚴重，但對其它企業(yè)來說只屬于informative類漏洞，因此，除規(guī)定100美金的下限外，HackerOne未針對不同漏洞類別設(shè)置最低獎勵限制。獎勵金額根據(jù)漏洞對廠商影響程度而定。

(3)針對幾類特別重要漏洞，為了提高獎勵透明度和黑客期望值，HackerOne根據(jù)漏洞成熟度模型給出了一個以供企業(yè)參考的最低獎勵結(jié)構(gòu)，當然企業(yè)有權(quán)根據(jù)漏洞影響程度來上調(diào)最低獎勵基準。如最近Uber的一個XSS漏洞獎勵就達7000美金。

8 安全性

(1)所有和HackerOne服務(wù)器平臺交流的信息都是加密的。安全團隊可以使用HackerOne的IP白名單策略進行權(quán)限訪問控制。

(2)HackerOne采用軍用級加密技術(shù)、雙因子認證、單點登錄、ISO/IEC 27001信息安全管理體系認證;

(3)HackerOne提倡企業(yè)遵守ISO/IEC 29147-2014 《信息技術(shù)-安全技術(shù)-漏洞披露標準》，同時通過自動化平臺幫助指導企業(yè)進行漏洞披露。ISO/IEC29147-2014標準的目的：為企業(yè)提供如何接收漏洞、發(fā)布漏洞解決方案的指導方針，為企業(yè)提供漏洞披露過程的相關(guān)信息和示例。

9 特色點之DASHBOARD

HackerOne的Dashboard功能是為了顯示企業(yè)提交漏洞和獎勵金額的準確信息，Dashboard還可以幫助企業(yè)確定和跟蹤軟件開發(fā)生命周期中的改進領(lǐng)域。通過Dashboard，企業(yè)可以查看每天、每周和每月的漏洞趨勢和發(fā)展情況，數(shù)據(jù)產(chǎn)生的報告可下載為CSV格式保存。另外，如果企業(yè)需要更先進和及時的報告要求，可以通過HackerOne的API把Dashboard數(shù)據(jù)整合到第三方報告工具中。

Dashboard的數(shù)據(jù)指標包括：解決的漏洞數(shù)、獎勵金額總和、黑客致謝、獎勵的報告數(shù)、獎金平均數(shù)、支付與漏洞解決占比、漏洞響應(yīng)時間、漏洞解決時間、報告狀態(tài)圖、漏洞響應(yīng)與解決時間狀態(tài)圖、獎金支付走勢圖、黑客獲取金額排行圖、黑客獎勵次數(shù)排行圖。

10 特色點之漏洞協(xié)調(diào)成熟度模型

HackerOne根據(jù)長期的漏洞提交模式分析，發(fā)布了針對漏洞協(xié)作披露的漏洞協(xié)調(diào)成熟度模型(Vulnerability Coordination Maturity Model，VCMM)。HackerOne認為，影響漏洞協(xié)作披露的因素主要包括5個方面的能力領(lǐng)域：組織、工程、交流、分析與激勵，每個領(lǐng)域又包含基本、高級和專家3個成熟度等級，VCMM模型目的在于幫助企業(yè)評估漏洞協(xié)調(diào)機制，直觀地識別出需要改進的領(lǐng)域，指導企業(yè)進行內(nèi)外部組織能力提升，更好地消除安全漏洞隱患。

HackerOne的VCMM針對社會面的公開測試模型為：VCMM-survey，當然除此之外，HackerOne還針對在其平臺合作的眾測企業(yè)提供漏洞信息量化模型指標。以下是VCMM5個能力領(lǐng)域的等級介紹：

根據(jù)5方面的能力領(lǐng)域分值，VCMM可以確定企業(yè)在漏洞協(xié)調(diào)管理方面存在的問題和急需改進的領(lǐng)域，如以下為Adobe公司某個時期的VCMM模型圖。

11 HackerOne漏洞披露原則

HackerOne聲明的漏洞披露原則如下：所有的技術(shù)都包含漏洞，如果你發(fā)現(xiàn)了一個安全漏洞，我們希望幫助到你。通過HackerOne平臺項目提交漏洞或注冊成為眾測企業(yè)，我們希望你閱讀并同意以下準則。

(1)披露哲學

我們相信漏洞發(fā)現(xiàn)者和眾測企業(yè)之間的相互尊重和透明度是有效漏洞披露流程的前提。

漏洞提交者須：尊重規(guī)則、尊重隱私、保持耐心、友好;

眾測企業(yè)須：安全為重、尊重漏洞提交者、獎勵漏洞提交者、友好。

(2)漏洞披露流程：

提交漏洞的報告內(nèi)容將會立即提供給眾測企業(yè)的安全團隊，在非公開狀態(tài)下，讓企業(yè)有足夠的時間驗證漏洞并發(fā)布修補公告。在漏洞提交報告關(guān)閉后才能進行公開披露。

一般情況：如果雙方都不提出異議，漏洞提交報告的內(nèi)容將在30天內(nèi)公開。

雙方協(xié)議：我們鼓勵漏洞提交者和企業(yè)就披露期限有良好的溝通協(xié)商，如果雙方無異議，披露時間可按協(xié)商時間而定。

保護性披露：如果企業(yè)發(fā)現(xiàn)所提交的漏洞正在被積極開發(fā)利用并對公眾造成傷害，企業(yè)可以會立即向社會發(fā)布漏洞修補公告，以便用戶可以采取保護措施。

延伸：由于復雜性等因素的影響，一些漏洞將需要比30天更長的時間來進行修補。在這種情況下，漏洞報告還將繼續(xù)保密，以確保企業(yè)安全團隊有足夠的時間來解決問題，同時，我們鼓勵企業(yè)安全團隊與漏洞提交者保持溝通。

最后的手段：如果180天之內(nèi)，眾測企業(yè)安全團隊無法或不愿提供一個確切的漏洞披露時間表，該漏洞的提交者有權(quán)公開漏洞內(nèi)容。我們認為，在這種極端情況下，保持對公眾透明是最好的方式。

12 HackerOne與其它眾測平臺的橫向比較

2015年8月，賓夕法尼亞州立大學曾對幾個著名的漏洞眾測平臺進行過研究分析，研究涉及眾測平臺提交的漏洞數(shù)、注冊白帽人員、合作客戶、漏洞獎金等，國內(nèi)平臺也包括在內(nèi)，以下是HackerOne的各種指標對比圖：

從以上指標可以看出，HackerOne平臺的白帽數(shù)量在公司創(chuàng)立之初時呈緩慢增長態(tài)勢，另外，只有極少數(shù)機構(gòu)獲得的漏洞報告數(shù)較多，如twitter、facebook等財大氣粗而霸氣的明星企業(yè);但是，從白帽與漏洞線性圖可以看出，HackerOne平臺的精英黑客較多，部分黑客長期活躍于平臺，并且提交的漏洞質(zhì)量較高。研究結(jié)果表明，國內(nèi)眾測平臺的白帽數(shù)量相對較多，也比較活躍，但與國外眾測平臺相比，漏洞獎金差距較大，還有待提高。

13 個人觀點

安全保密：HackerOne只提供漏洞報告、處理、咨詢平臺，HackerOne在無授權(quán)情況下無法訪問查看眾測企業(yè)漏洞信息，提交漏洞內(nèi)容只有在完全解決之后才會公開。最重要的一點，HackerOne平臺采用加密方式進行信息交互傳輸，最大程度保護白帽子信息;

漏洞獎勵：從最低獎勵金額100刀就能初略反映出老美對安全的重視程度，另外，HackerOne對幾類重要漏洞給出的參考性獎勵結(jié)構(gòu)對白帽子們來說也是相當具有吸引力的，如XXS(critical)和CSRF(critical)類漏洞能達到2500 刀，所有XSS類型漏洞為1000刀，雖然只是參考，但如果企業(yè)的最低獎勵金額達不到這種標準，那么，企業(yè)信任度和眾測吸引力將會受影響，當然白帽積極性也不會太高。如最近Uber的一個XSS漏洞獎勵就達7000美金，另據(jù)HackerOne平臺聲稱有些高級黑客每年能賺20多萬美元，單個漏洞獎勵曾達3萬美元。

專業(yè)合規(guī)性：參與眾測的廠商大部分是知名和業(yè)界創(chuàng)新企業(yè)，這些企業(yè)具備的市場占有率要求企業(yè)對安全必須要有足夠高的重視，當然除了認同HackerOne的披露政策外，這些企業(yè)在HackerOne上的眾測項目還有自己的規(guī)則，比如，漏洞有效性、漏洞報告模板、漏洞測試規(guī)則等。作為白帽子們，HackerOne會定期對所提交漏洞的有效性進行評定，結(jié)合積分致謝等情況，作為白帽子的等級聲譽，也作為某些邀請項目對白帽子的考核指標。

法律界定性：這可能都是國內(nèi)外眾測平臺面臨的一個問題吧。首先，加入HackerOne眾測項目的企業(yè)得遵守 HackerOne的披露規(guī)則，做到HackerOne 、企業(yè)和白帽子三方共同認可眾測項目，最大程度地保護白帽子;另外，HackerOne 認為互聯(lián)網(wǎng)世界就是未來信息戰(zhàn)的前沿陣地，而黑客們就是士兵和武器制造者，如何贏得或征募黑客參與防衛(wèi)，當前可能需要對現(xiàn)行的法律進行修改，以消除“安全防護”和“犯罪”之間的模糊界限，鼓勵安全研究。HackerOne認為白帽子們利用稀缺珍貴的技術(shù)發(fā)現(xiàn)漏洞保護信息安全，這本身就是一個有利企業(yè)和公眾的事情，如果白帽安全者能發(fā)現(xiàn)漏洞，其它壞人也可以發(fā)現(xiàn)，然而美國現(xiàn)行的計算機法律還未對白帽安全研究者給予明確保護。

2015年5月，美國信息安全界提交了針對安全研究的豁免條款修訂意見之后， 美國版權(quán)局修訂了《數(shù)字千年版權(quán)法案》，加入了針對軟件安全研究的免責說明。這對漏洞眾測的未來，可能是一種進步。HackerOne 希望安全研究能受到法律的合法保護，并呼吁現(xiàn)行和未來的法律體系能為安全研究者創(chuàng)建一個良好的研究氛圍。

用戶體驗：總體來講，HackerOne的用戶體驗度還是蠻好的，從注冊、提交漏洞、信息接收和項目邀請等方面來講，都能站在白帽和企業(yè)的角度來提供服務(wù)和考慮問題;另外白帽和企業(yè)之間的交流、獎勵機制、漏洞調(diào)解都比較及時、透明和公開。其次，從HackerOne網(wǎng)站架構(gòu)情況也可以體現(xiàn)出HackerOne具備的良好用戶體驗功能。

以上就是對HackerOne的一些淺略介紹和分析，相比較而言，國內(nèi)眾測平臺的發(fā)展也是相當不錯的。就國內(nèi)眾測廠商來說，筆者對漏洞盒子比較熟悉，從其企業(yè)客戶對眾測服務(wù)的效果反饋和近年來迅速提升的接受度上來說，眾測平臺的存在價值毋庸置疑。

就像HackerOne CEO Marten Mickos說的，漏洞眾測平臺的未來是生機蓬勃的，當然，眾測的良好生態(tài)發(fā)展需要社會整體信息安全重視度、企業(yè)責任心、白帽技能、政策法規(guī)等因素的共同改善和提升。作為白帽子的我們在努力提高技能的同時，也不要忘記加入國內(nèi)優(yōu)秀眾測平臺為信息安全奉獻自己的微薄之力。