應盡快制定行業標準

“法律永遠滯后于技術發展。”作為中國網絡空間安全協會理事的謝永江表示，召集專業人士通過行業協會制定“白帽子”挖掘漏洞、提交漏洞的行業標準更為快捷。行業準則可以制定“白帽子”的注冊標準，規范使用工具，對挖掘行為的邊界形成行業共識，統一挖掘漏洞的授權規則。黃道麗也認為，法律規范需要進一步完善并合理化，具體的技術規范則可以交給市場優化解決。

對比烏云網的對公眾強制披露制度、只對廠商內部披露的補天模式以及國家信息安全漏洞共享平臺模式，謝永江認為，漏洞平臺對公眾強制披露漏洞，存在著現實和法律風險：首先，公眾對漏洞細節不一定了解，遑論采取相對應的防范措施；其次，披露漏洞細節可能引來“黑帽子”的攻擊，加重漏洞的危害。不過，如果廠商在接到漏洞報告后不修復漏洞，導致用戶信息因該漏洞泄露，“白帽子”的漏洞報告就可以成為廠商不履行網絡安全管理義務、在用戶信息泄露事件上存在過失的證據，用戶因此產生的損失就可以索賠。

西安交通大學法學院與360公司曾就“白帽子”挖掘漏洞的獎勵模式進行了專題研究，并發布了《白帽子安全漏洞挖掘風險報告》。當前多種漏洞披露平臺具有一定的嘗試和探索意義。“從目前國內外漏洞平臺的發展階段看，似乎也不存在一種單一的模式。”參與撰寫該報告的黃道麗告訴記者。

報告顯示，“臉書”僅在2015年就給210名“白帽子”發放了93.6萬美元的漏洞獎勵。漏洞賞金計劃、漏洞購買計劃(VPPs)以及漏洞獎勵計劃吸引更多“白帽子”加入安全防護研究，已經成為網絡安全領域司空見慣的事情。

在國外漏洞眾測平臺“第一黑客”(HackerOne)上，由眾測企業向黑客支付發現漏洞的獎勵，“第一黑客”則從企業獎勵中抽取20%的費用。“第一黑客”還向企業提供付費服務模式，如漏洞訂閱服務、漏洞披露指導、安全咨詢等。目前，“第一黑客”已幫助500多家企業找出2萬多個漏洞，向3200多名獨立安全研究員發放了600多萬美元的獎勵，單個漏洞獎勵最多達到3萬美元。從國際實踐來看，相比目前我國企業較低的漏洞獎勵金額，黑市交易的高額回報顯然更具誘惑力，這也是黑市產業鏈形成和發展的關鍵因素。黃道麗表示，“‘白帽子’是一群崇尚自由的群體，憑借自身對技術的追求或對網絡安全的維護之心等挖掘漏洞，期望從中實現不同的價值，所以‘白帽子’不會因為商業化而消失。因此，建立長效高額的安全漏洞獎勵機制是支持和鼓勵‘白帽子’的最佳方式。”