最近几日，上海的天气格外冷，据说还要有一股弱冷空气来袭，这种情景与许多公司的心情十分契合。

　　本周，有白帽子发布消息称，智联招聘存在安全漏洞，并已经造成86万份用户简历信息泄露。而就在12月4日，白帽子“路人甲”提交了一个名为“东方航空大量用户订单信息泄露”的漏洞，危害等级为高。加上今年上半年，携程资料泄露事件，漏洞问题几乎成了大部分网站的隐患。

　　不过，上述几家公司在漏洞曝光之后，都及时做出了回应，比如，智联招聘表示，漏洞中曝出的 IP 地址归是一家新兴招聘网站，被泄露信息的并不是智联招聘的用户。关于这份声明，实际上一直争议不断，针对这一问题有不少讨论。不过，在技术专家360网站安全总监赵武看来，这个争论实际上是白帽子的技术语言与商业语言的无法契合导致的。

　　漏洞的定义有所不同

　　数据显示，2013年，国内有超过95%的网站存在安全漏洞，40%的网站被植入后门，这些数据表明，几乎所有网站都可能有漏洞，这个问题是长期存在的。为了保护网站安全，部分大公司建立了SRC(安全应急响应中心)，能够发动全网白帽子为企业提交漏洞。但是，大部分企业没有建立SRC。但这些企业对安全隐患是心知肚明的，它们当然不想问题暴露，所以问题的关键在于，企业如何与发现漏洞的白帽子进行沟通。之所以还会出现类似携程、智联招聘等公司的问题，主要有两个原因。

　　第一，白帽子发现漏洞后递交时存在顾虑。360网站安全总监赵武表示，刑法修正案有一项规定，如果安全人员获取了敏感信息或提供了安全工具，有可能触犯刑法。所以，当白帽子找到了网站的漏洞，由于涉嫌触犯刑法，白帽子会考虑要不要告诉企业。而此前，有过这样的案例，当白帽子告知企业网站存在漏洞时，厂商直接报警抓人。因此，白帽子不敢将漏洞报告给企业，隐患最终爆发也就很常见了。

　　第二，企业对漏洞的定义存在误区。即便企业能够接受白帽子提供的漏洞，在赵武看来，双方对漏洞严重程度的评估存在分歧。对企业来说，某个漏洞也许不涉及核心部分，也就不严重。但在技术人员看来，这一漏洞存在很大的隐患，通过此漏洞侵入网站核心部分是很容易的。双方在定级方面存在分歧，一旦谈不拢，漏洞很有可能会被曝光。

　　综上所述，如果没有SRC，企业与白帽子沟通起来是很困难的，对双方来说，都存在一定的风险，需要有一个中间方协调二者的关系。

　　平台作用：让技术语言与商业语言契合

　　如果能像大企业一样，为其他企业建立SRC，有两个优点，一是能够让企业变被动为主动，主动发现网站的漏洞；二是有助有建立长效机制，保证企业避免受到攻击。在这种情况下，360成立了补天平台。

　　补天平台主要的作用是帮助企业建立SRC(安全应急响应中心)，建立起厂商与白帽子之间的桥梁，最大程度避免企业由于安全漏洞遭受损失，让白帽子获得收益。在赵武看来，这样可以保证白帽子与企业的利益。

　　第一，白帽子能够获得收益，增加动力。补天平台可以建立一个有效的机制，企业为白帽子找到的漏洞支付报酬，发现漏洞的白帽子则将获得与辛劳相匹配的物质奖励，这样一来，白帽子就会更有动力。据赵武透露，有白帽子通过找漏洞，一个周可以拿到几千块钱，这对白帽子来说是一个相当大的激励。如果白帽子与企业对漏洞的定性依然存在问题，那么补天平台会作为调停方进行协调，平台的作用就发挥了出来。

　　第二，漏洞不会公开，防止被竞争对手利用。将漏洞毫无保留地公布，很有可能会被竞争对手和黑客利用，导致企业遭受到舆论压力，面临更大的被攻击的风险。而在补天平台上，除了漏洞发现者和相关企业之外，所有其他人员均不能看到漏洞相关细节，企业便可以安心修补漏洞。

　　综合来看，补天平台能够兼顾网站站长、白帽子和第三方建站程序厂商的共同利益。便可以让技术的“驴唇”和商业的“马嘴”对上。

　　写在最后：

　　携程、智联招聘等网站是无辜的，因为没有百分之百的安全，总会不断有漏洞出现。关键在于这个漏洞是被谁发现的，如何协调的。如果协调地顺利，事情便不会发酵，企业利益也就能够保障。