从2016年开始，白健多了一个新绰号：“白掌门”。

这个绰号有着双重含义：其一是他姓白；其二则是，他是360补天漏洞响应平台的负责人，管理着整个平台上超过30000名白帽子。在提交漏洞时，白帽子若选择匿名，昵称则显示为“带头大哥”,从这个角度讲，白健就是“大哥中的大哥”。“白掌门”的称号，名副其实。

然而，“大哥”却并不是那么好做的。

长久以来，由于信息安全行业特有的隐秘性，白帽子这一群体一直处于公众视野的边缘，直到2013年左右，绝缘的状态才渐渐被打破。但是，较高的技术门槛、长期隔绝引发的陌生感和根深蒂固的偏见，让公众对白帽子的态度始终暧昧不清：如同欧洲人初次见到番茄一般，既对它的香气和色泽感到好奇和向往，又隐隐觉得“有毒”，称之为“狼桃”。而白帽子的命运，也随之起起落落、波折不断：声名鹊起不过三四年，几场风波让白帽子又一次受到了误解和打击，也让许多安全从业者再度陷入迷茫。

“白掌门”却似乎并不属于迷茫者的一员：采访中的白健开朗而健谈，话语间不时穿插着各种玩笑。眼下，他正为三月底的“补天白帽大会”做最后的准备。“参会的企业级用户和白帽子是对半开。”白健向我们解释道，“这一次来的很多都是技术型用户，和其他会议不同，补天的定位是‘草根技术盛宴’，我们覆盖不同的维度。”

而另一个惊喜则出乎我们的意料。“这一次我们邀请了海外的漏洞平台。”他揭晓了谜底，“HackerOne会来。”

一

2017年春节刚过，白健立刻陷入了一场意外的忙碌。

“我从美国休假回来，刚上了一天班，还在倒时差呢。老齐（360企业安全集团董事长齐向东）一句话，‘你再去一趟吧’，星期二就订了周末的机票，又飞回了旧金山。”他这样形容当时的情景。

事件的起因在于白健度假时的“交友”：身在硅谷的他，想着趁私人时间和美国的同行“交交朋友、认识一下”，见了几家同行后觉得“特别有意思”，回国后就汇报给了老板，没想到公司对此非常感兴趣，便派他再次前往美国，尝试在RSA期间谈一些深度的合作。

然而这一谈，竟又谈出了更多的名堂。

HackerOne的COO王宁本就是留美华人，白健提起他时，语气中充满了敬佩：“很厉害，30多年前北大毕业拿了李政道奖学金，又读了伯克利物理学的女博士。”交谈中，王宁透露自己是郑州人——和“土人”谭晓生正是老乡，“所以在RSA期间还特意安排了一场老乡会”。聊得投机，王宁当即决定参加“补天白帽大会”：“听说是在深圳，我这边还没发给她日程，她机票都已经买好了。”白健笑着说，“我说，这个会不办也得办了。”

“《人民日报》上说RSA要走出去、学回来，我们还要加一个‘引进来’。”白健告诉我们，下一步，他计划组织补天平台的精英白帽子到今年的BlactHat上交流，同时引入海外白帽子共同进行众测项目，无论对哪一方，这样的合作都是有益的。“它们想要进入中国市场，可以通过这样的方式进行合作。”而白健则希望通过合作提升国内企业防护境外攻击的能力。“根据360互联网安全中心发布的报告显示，2016年来自境外的攻击占到了20%，而我们对他们的思维方式并不了解。”

如果不是这次接触，白健也很难意识到海外企业和白帽子与国内存在的差异。“之前我们要了解他们，也就是通过互联网嘛。”而如今，对于海外的情况，白健已经有了充分的了解，讲起来滔滔不绝：“比如技术架构，国内企业由于经费、去IOE计划的影响，用PHP、Python等语言快速开发产品比较多，整体安全性难以得到保证。而国外由于都完成了基层解决方案的搭建，并且有Oracle、IBM这样的大公司支持，架构比较成熟，安全性更有保证。国外的大型公司发生入侵事件一般是服务提供商出现0day漏洞或边缘系统的问题，相比之下，国内的安全问题都比较基础，SQL注入、命令执行、弱口令等等还是高发漏洞。”

当然，他最关心的还是白帽子间的差异。“技术水平其实差不多，群体数量也差不多，更多的是习惯上的差异，工具也是五花八门。”他提到了一个有趣的差别：“他们听说我们的白帽子90后居多都很惊讶，而他们的白帽子大多是70、80后，分布在欧美三四十个国家，比我们广泛得多。”

从这一细节不难看出，相比于海外，国内的信息安全尚处于起步阶段。白健举了HackerOne的例子：“他们的众测很开放，有邮箱、注册个ID就可以参与。相比之下，我们对于众测的接受度没那么高。像1400人众测五角大楼这种项目，在国内基本不可能。”

所以在这个阶段，国内平台间的协同合作显得更为必要。今年的“补天白帽大会”上，白健邀请了各大SRC进行宣讲，希望以此为契机，进一步组织起各平台的合作，包括通用漏洞数据共享、白帽子认证信息互认等等。“当然，对我们肯定也有好处。”他解释道，“如果整个行业都关心白帽子的正向引导成长和规范，无论对谁都是有利的。”

二

“没有全产业的引导，靠我们一家之力远远不够。”白健提到了之前有个别白帽子被黑产引诱的情况，最大的感受是“心痛”，“白帽子都是非常有正义感的，我们在一起玩、做活动，看到的都是很单纯的、技术型的年轻人。”这段时间，他正以补天平台的几位白帽子为例子，试图打造一个“典型的白帽子群体”，让他们“走到阳光下”，扭转公众的印象：“过去大家对白帽子群体不了解，充满了各种猜测和想象，其实他们和普通人有什么不同呢？都是有感情、有工作，有老婆孩子，希望用自己的技术能力为社会做一点事情的。”

让白健尤为印象深刻的，是补天平台组织的法律讲座：“我们的初衷不是威慑，而是很多白帽子真的不懂，出了事才模糊地意识到违法了。”几乎每一次的法律讲座最后都会超时，“给我的感觉是，他们对法律知识充满了好奇。”白帽子们经常踊跃地提出很多难以解答的问题：“他们经常问一个具体的事情，比如我在论坛分享了一个渗透方法，是不是违法？这种情况其实很复杂，什么类型的平台、分享的动机、造成的影响，都会导致不同的结果。”“其实白帽子的动机一般都是炫耀。”白健说，“他们觉得找到了不错的方法、工具甚至好玩的数据，就分享出去了，结果一不小心就违法了。”

而另一点让白健感触颇深的，就是白帽子群体的生存情况。“这个群体并不是很大，还需要培养和引导，但我们的社会似乎对他们并不是很友好。”白健认为，白帽子是一群擅长逆向思维的人才，而“正向思维的教育模式”他们很难适应。“很多白帽子高考成绩都不太好，我们的教育模式对他们约束太多。”他注意到由此而引发的一系列后续问题，“学历不高就对就业造成了很大的影响，有个单位让我帮我招两个能做渗透的，我一看要求，硕士毕业，基本不可能。”在他交流过的众多白帽子中，只找到了Hckmaple一个人拥有硕士学历。

与此同时，一些人还在不断离开这个群体，“挖漏洞是个很累的事情，需要长时间在电脑前工作。特别是很多项目客户要求在夜间测试，对于年龄偏大、有家庭的白帽子来说，基本无力承受。”

在白健看来，漏洞平台给了白帽子们一条很好的展现能力的出路。“按照常规的模式很难找到好的工作，除非到互联网公司。”他提到了补天平台的典型白帽子衰大，“他家在乌鲁木齐，在当地找一个好的工作比较难。还有一些白帽子在三四线城市，比如乐山、绵阳，别说互联网公司，可能传统公司的安全岗位都没有。”

而有了漏洞平台，白帽子的才华就有机会施展出来了。“可以在当地找一个比较闲的工作，当然工作还是要有，毕竟大家要交社保、公积金。”白健举了个例子，“不交金，就没办法公积金贷款买房了。”而漏洞平台能够打破地域限制，给白帽子们提供了一个施展才华的舞台，既能得到认可又能赚到奖金，这样就能让白帽子静下心来持续发展。“不断提升技术，去研究安卓、IOS甚至Windows操作系统的白帽子，后来也都找到了很好的工作。”

而做好补天平台，就是白健能给白帽子们的最大帮助。

三

截止到目前，补天漏洞平台收到了超过100000个漏洞，发放奖金将近9000000元。有白帽子提出质疑，为什么漏洞和奖金不成比例，难道我们的漏洞就这么不值钱？

“其实我们的漏洞分为几类。众测项目奖金3000到30000不等，企业专属SRC奖金1000到3000元，这些是企业自主发放的，我们只代扣个人所得税。”而另一部分则被白健称为“公益”：“公益类的是平台自己补贴的，这部分漏洞我们会给白帽子少量物质鼓励，漏洞提交主要靠白帽子们的正义感驱动。这些漏洞我们收上来，是免费提供给企业的。我们需要自己去找企业，有时候还要猜企业安全部门或者IT部门的邮箱，然后给他发个邮件，说白帽子发现一个漏洞，请尽快确认修复。

他坦率地表示，国内企业与漏洞平台的沟通和互动上仍有很大的改善空间，“响应的只有两三成左右”，“联系大企业有时候只能找到客服部门，技术人员很难联系上”，诸多沟通的挑战，白帽子与企业，就像分处在河的两岸。

记得一个白帽子曾试图通过补天平台向华泰证券提交一个漏洞，企业自己快速修复后我们并没有得到回复，补天平台以为企业没有收到，就将漏洞提交给了监管部门。一场沟通过程中的磨合与误会，却意外促成了监管部门、企业、平台和白帽子更顺畅的互动，并在此基础上不断借助白帽子的力量，为企业的安全工作做贡献，让白帽子成为了围绕在企业周围携手保护公民信息的一份子。

如今，华泰证券进一步借助认证白帽子的力量，积极响应监管部门对加强安全演练的要求，将企业的安全人员、外部专业团队和认证白帽子共同组成“红蓝军”进行实战演练，在攻与防的对抗过程中不断提升企业的安全防护水平。种种例子说明，白帽子参与的众测模式，极大地帮助企业提高了漏洞发现的效率。白掌门说：“一个安全人员，思路可能比较单一，三五十个白帽子独立工作提供不同的思路，效率就上去了。我们统计过，与传统安服公司的渗透测试相比，众测找到的漏洞数多了大约十倍。”

360大平台为补天模式提供了最适宜的土壤。与其他商业类产品不同，老齐给补天平台的指示是“不能赚钱”，“你们就是不能赚钱，赚钱了说明用户感到胁迫了。你们不赚钱，就没有胁迫用户的动力了。”白健这样解释平台的定位。

而在白健看来，创业公司在这方面尚不具备这样的能力。他细细算了一笔账，“我们团队20多个人，创业公司需要财务法务市场等职能部门，一般需要四五十号人——一线城市的四五十个员工，薪水、差旅加房租一个月至少一百多万，一年就是一千多万，年终还发年终奖啊。融资融了一两千万，一年就发光了，不赚钱的行业谁都受不了，投资人也不受不了。”说到这，他笑了起来，“可能这个时代大家都挺着急的，这边钱哗哗地往外发，那边房价噌噌地往上涨，谁看着都得怀疑，‘我们是不是走错路了啊？”

他觉得，创业公司可以尝试不同的切入点，比如专注于某一个方面的安全防御是一个不错的选择，“从不同维度维护信息安全。”

“长远来看，价值很大。”白健这样总结他在信息安全领域的所见所闻。“但还处在发展过程中，要有长跑的心态。我这个人喜欢看长期，长期做肯定能做好，遇到一些小问题、小波折，也一定能解决。”

3月30日在深圳前海举办的补天白帽大会是白健“长跑”中的重要一环。补天白帽大会是首个面向全球白帽和技术精英开放，专注于漏洞相应和防护的安全行业大会，秉承开放、协同的原则，广泛邀请国内外知名白帽、技术精英、安全爱好者，与网络安全相关主管机构和知名企业和机构的CISO共同参与，共同解读当前网络安全形势和安全威胁，探讨漏洞响应与防范方案，同时分享交流漏洞挖掘与安全功防等沿议题。

有趣的是，此次大会的主题定为“Hack For Security”——两个词语的含义看似截然相反，却恰恰诠释了真实的白帽子形象：并非破坏者，而是安全的守护者。让全社会都能理解这句话，或许正是白健“长跑”的起点。

与工作中相同的是，生活中的白健也是一个长跑爱好者。如今，他已经跑过了十几场马拉松，还在向着更远的目标进发。而在信息安全这条更为漫长的跑道上，“白掌门”的“马拉松”才刚刚开始。

https://v.qq.com/txp/iframe/player.html?vid=r0381ty32hc&width=500&height=375&auto=0