2021補天白帽大會召開 多維度推進(jìn)白帽健康發(fā)展

9月17日，面向全球白帽和技術(shù)精英的全球性安全行業(yè)大會——2021補天白帽大會在北京舉行。作為《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》（以下簡稱“規(guī)定”）正式實施后的第一個白帽行業(yè)盛會，來自監(jiān)管機(jī)構(gòu)、安全團(tuán)隊、研究機(jī)構(gòu)的嘉賓和頂級白帽近千人匯聚一堂。

工業(yè)和信息化部網(wǎng)絡(luò)安全管理局副處長肖俊芳，中國信息通信研究院安全研究所副所長覃慶玲，中國信息通信研究院安全研究所網(wǎng)絡(luò)安全響應(yīng)中心主任卜哲，北京賽博昆侖科技有限公司創(chuàng)始人兼CEO MJ，華為云首席安全生態(tài)官萬濤，字節(jié)跳動安全中心負(fù)責(zé)人林偉，騰訊安全天馬實驗室負(fù)責(zé)人、騰訊安全學(xué)院副院長楊卿，螞蟻安全對抗技術(shù)部負(fù)責(zé)人曲和，資深網(wǎng)絡(luò)安全專家、實戰(zhàn)攻防團(tuán)隊藍(lán)軍負(fù)責(zé)人葉猛，奇安信集團(tuán)董事長齊向東，奇安信集團(tuán)副總裁、補天漏洞響應(yīng)平臺負(fù)責(zé)人張卓等嘉賓應(yīng)邀出席。十余家企業(yè)SRC、近百個國內(nèi)外優(yōu)秀的安全實驗室及安全團(tuán)隊也參與了本次大會。

漏洞管理規(guī)定正式施行 白帽群體有了行為“準(zhǔn)繩”

網(wǎng)絡(luò)安全產(chǎn)業(yè)已發(fā)展進(jìn)入快車道，白帽人才也成為維護(hù)網(wǎng)絡(luò)安全行業(yè)的重要支撐力量。工信部網(wǎng)安局副處長肖俊芳在致辭中表示，工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺自9月1日上線以來，已收到來自電信網(wǎng)、互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等各領(lǐng)域安全漏洞近9萬個，其中以補天平臺為代表的第三方漏洞平臺的大力支撐和對白帽群體的積極引導(dǎo)起到了重要作用。

奇安信集團(tuán)董事長齊向東則在致辭時提出，《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》會對網(wǎng)絡(luò)產(chǎn)品提供商、白帽群體、漏洞平臺三個方面起到激勵作用。其中，漏洞管理規(guī)定將白帽的行為正當(dāng)化、合法化，給白帽子提供了安全感。

齊向東指出，一方面，《規(guī)定》明確鼓勵民間力量進(jìn)行漏洞挖掘工作，給漏洞的發(fā)現(xiàn)、收集、發(fā)布等行為劃定了紅線，引導(dǎo)白帽子在合法合規(guī)的條件下發(fā)揮價值；另一方面，《規(guī)定》也鼓勵廠家針對白帽子設(shè)立漏洞獎勵機(jī)制，白帽子亦可通過自己的一技之長獲得相應(yīng)的回報，從而形成良性循環(huán)，推動安全產(chǎn)業(yè)不斷壯大。2021年，就有企業(yè)SRC通過補天平臺向白帽子支付了高達(dá)13萬元的單個漏洞獎金。

而對于漏洞平臺來說，漏洞管理規(guī)定的實施，也為漏洞響應(yīng)平臺提供了健康的成長方向。下一步，補天將繼續(xù)優(yōu)化提升平臺能力，對民間白帽進(jìn)行正向引導(dǎo)，幫助廠商建設(shè)和運營符合要求的產(chǎn)品漏洞收集平臺，守住漏洞這條重要的安全防線。

《2021白帽人才報告》發(fā)布 網(wǎng)絡(luò)安全進(jìn)入00后時代

在國內(nèi)良好的政策環(huán)境和產(chǎn)業(yè)環(huán)境推動之下，我國白帽人才的總體能力建設(shè)持續(xù)提升。補天白帽大會上，奇安信集團(tuán)副總裁張卓發(fā)布的《中國白帽人才能力與發(fā)展?fàn)顩r調(diào)研報告》也從多方面證實了我國白帽人才的特點：勤學(xué)刻苦的漏洞“挖掘機(jī)”，堅持“為愛發(fā)電”，且00后已成主力軍。

報告顯示，約有38.8%的白帽人才，每年人均提交有效安全漏洞數(shù)量超過10個；更有約4.7%的白帽人才每年人均提交有效漏洞數(shù)量超過300個，堪稱漏洞界的“超級挖掘機(jī)”。

值得注意的是，這些漏洞“挖掘機(jī)”的年齡呈年輕化，00后已經(jīng)成為國內(nèi)白帽人才的主力軍，占比高達(dá)38.4%，95后的占比為34.6%，甚至已有少量10后年輕人加入了白帽子的隊伍，網(wǎng)絡(luò)安全已開始進(jìn)入00后時代，未來可期。本次補天年度白帽子頒獎中，也為這群年輕群體頒發(fā)了“補天最具朝氣白帽獎”，為項目申請率、項目通過率、項目有效率遙遙領(lǐng)先的白帽少年頒發(fā)榮譽。

這些勤學(xué)刻苦的白帽人才在自學(xué)上投入了大量的時間成本，在接受調(diào)查的白帽子中，每周自學(xué)黑客技術(shù)的人均時間超過15.0個小時，其中，有14.1%的白帽子每周自學(xué)時間達(dá)20-50小時，堪稱“白帽學(xué)霸”；更有8.0%的“白帽學(xué)神”每周自學(xué)黑客技術(shù)時間超過50小時，日均自學(xué)時間超過7個小時。

但最讓人敬佩的是，對于挖掘并提交如此多漏洞且勤學(xué)刻苦的白帽群體來說，“個人愛好”是其最主要的驅(qū)動力，有超過64%的受訪者認(rèn)為這是首要原因。強(qiáng)大的自我認(rèn)同感或許也是白帽子“為愛發(fā)電”的原因之一，有近8成的白帽子認(rèn)為白帽工作非�？峄蛴悬c兒酷。

首屆補天繁星獎頒獎 

補天漏洞響應(yīng)平臺作為企業(yè)和白帽子之間的橋梁和紐帶，已擁有長達(dá)8年的豐富漏洞平臺運營經(jīng)驗，已有注冊白帽8.7萬人，報告漏洞總數(shù)超67萬，入駐企業(yè)數(shù)量超過6000家。

今年的補天白帽大會，首次針對白帽人才及安全應(yīng)急響應(yīng)中心推出了“補天繁星獎”年度評選活動，旨在評選出行業(yè)內(nèi)“最受歡迎的白帽團(tuán)隊”與“最受歡迎的安全應(yīng)急響應(yīng)中心”，共同為網(wǎng)絡(luò)安全人員加油鼓氣，推動行業(yè)健康發(fā)展，打造良好的安全生態(tài)。

經(jīng)過材料審核、大眾評審、專業(yè)評審、特邀白帽評審等環(huán)節(jié)，騰訊安全應(yīng)急響應(yīng)中心、百度安全應(yīng)急響應(yīng)中心、京東安全應(yīng)急響應(yīng)中心、螞蟻安全響應(yīng)中心、陌陌安全應(yīng)急響應(yīng)中心、涂鴉安全響應(yīng)中心、字節(jié)跳動安全中心、OPPO安全應(yīng)急響應(yīng)中心8個企業(yè)SRC獲得“最受歡迎應(yīng)急響應(yīng)中心”獎項，零組攻防實驗室、ChaMd5安全團(tuán)隊、r3kapig、The loner、Timeline Sec、Nu1L Team、白帽一百安全攻防實驗室、WhITECat安全團(tuán)隊獲得“最受歡迎安全團(tuán)隊”。

與此同時，最具價值白帽獎、最具貢獻(xiàn)白帽獎、最具公益能量獎、最具潛力白帽獎也在大會上公布，十余位在補天平臺表現(xiàn)突出的白帽人才獲得榮譽，充分體現(xiàn)了民間安全從業(yè)者的蓬勃活力。

技術(shù)、政策雙向深度交流 

《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》的正式實施，明確了各類主體的責(zé)任和義務(wù)，對相關(guān)網(wǎng)絡(luò)從業(yè)者均產(chǎn)生巨大影響。為推動各方主體更好理解規(guī)定，推進(jìn)漏洞管理有序開展，本次大會特舉辦網(wǎng)絡(luò)產(chǎn)品安全漏洞管理與實踐閉門論壇。

中國信息通信研究院安全研究所網(wǎng)絡(luò)安全響應(yīng)中心主任卜哲對網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺進(jìn)行了詳細(xì)介紹，并和與會企業(yè)一起，圍繞網(wǎng)絡(luò)產(chǎn)品漏洞管理規(guī)定展開研討。

為幫助更多企業(yè)建立專屬的安全應(yīng)急響應(yīng)中心，依照規(guī)定開展漏洞管理工作，奇安信首次推出了“補天全棧式SRC服務(wù)”，通過持續(xù)監(jiān)測和漏洞發(fā)現(xiàn)、端到端服務(wù)、個性化門戶、漏洞信息報告、線上線下聯(lián)合運營推廣四大服務(wù)為企業(yè)提供安全可控、全棧管理的保姆式安全服務(wù)。

與此同時，各位安全專家?guī)�來的技術(shù)分享也是活動最具干貨的重磅環(huán)節(jié)。來自昆侖實驗室、騰訊安全天馬實驗室、R3kapig團(tuán)隊、騰訊藍(lán)軍、DeadEye安全試驗研究室、阿斯巴甜攻防實驗室、奇安信技術(shù)研究院天工實驗室、奇安信代碼安全實驗室等頂尖安全實驗室及團(tuán)隊的安全專家、安全研究員圍繞衛(wèi)星通信網(wǎng)絡(luò)、虛擬貨幣等前沿技術(shù)趨勢，云原生容器集群、供應(yīng)鏈、智能汽車、反詐等多維度實戰(zhàn)技巧，進(jìn)行了精彩分享。