乌云网引发的是非发现安全漏洞要不要公开新时代

“乌云”引发的是非：发现安全漏洞要不要公开

此次携程的安全漏洞曝光，让乌云再一次进入公众视野。其实，乌云曾多次曝光知名站安全漏洞。

人们对乌云及其背后的白帽子(指一些善意公布公共络安全漏洞的IT技术人员)充满了好奇：他们究竟是侠客?危险分子?或是一些络维护人员眼中的捣蛋鬼?

乌云多次曝露站漏洞

公开资料显示，乌云络平台2010年5月上线，是一家络漏洞报告平台，主要创始人为百度前安全专家方小顿这位1987年出生的国内知名黑客剑心，因在2010年2月和李彦宏一起参加湖南卫视《天天向上》节目，为女友高歌一首为人所知。此后，方小顿联合几位安全界人士成立了乌云，其目标是成为自由平等的漏洞报告平台，为计算机厂商和安全研究者提供技术上的各种参考以及漏洞bug的修复。

乌云上线后，先后曝出知名IT社区CSDN、天涯、当当、京东商城等站存在安全漏洞，于2011年声名鹊起。

表面上看，乌云像是一个社区性质的站，依托平台用户发现漏洞，然后曝光，可能无法保证问题的准确性。但是，根据已经公开的信息发现，乌云所曝光的漏洞基本都存在，能迅速得到相关企业的回应。

腾讯公司在其2012年度漏洞奖励计划工作报告中指出，2012年腾讯产品的安全漏洞数字为2288个，其中来自TSRC漏洞反馈平台(腾讯安全应急响应中从背后撞……”白某说。心)的有1910个;通过非官方渠道报告漏洞378个，主要来自乌云漏洞报告平台，提供了其中的302个安全漏洞。

公开漏洞或被不法利用

如此高频率、高密度的曝光，既给乌云带来了广泛的知名度，也在业界及公众间引发了不小的争议。

有人质疑乌云：他们是否应该将漏洞公布于众?漏洞的细节都被暴露无遗，如果有其他不良用心的黑客，很容易根据这些消息侵入被曝光的互联内部，进行违法行为。友飞轮201认为。还有人质疑乌云的白帽子借曝光技术漏洞，向有关企业要挟，以获得回报。个别被曝光的互联企业对于乌云也深感无奈，有企业认为，乌云不时公布些耸人听闻的消息，实际上是在炒作自己，有些被曝光的所谓漏洞，其实并不是什么大问题，企业自身也早已关注到或者已经解决。

乌云发言人、创始人之一的孟德曾就此表示：在厂商未确认或驳回前，公众不会看到漏洞的具体细节，黑客很难根据这些消息进行违法行为。对于是否属于炒作，孟德并不否认。

事实上，送礼物或奖励，是厂商给予提交漏洞的白帽子的一种报酬。乌云的发言人表示，在国内，由于厂商对提交漏洞者的轻视或偏见，向第三方漏洞平台给予丰厚奖励的比较少(360、腾讯、新浪等企业对自己漏洞收集平台则有奖励规定)，大多是T恤衫、笔、水杯等纪念礼物，以及少量的奖金。

乌云更多带来良性互动

在IT业界内部，更多的是对乌云支持的声音。金山毒霸安全专家李铁军表示，乌云在公布这些漏洞时，实际上是些简单的摘要、厂商态度，以及漏洞可能造成的后果，这些信息不足以对络安全造成威胁。李铁军说，一些白帽子通常只在两种情况下才会公布漏洞的详细细节，一种是被曝光的络已经修复漏洞;还有一种则是个别公共络长时间置之不理。

李铁军表示，在乌云成立之前，因为没有合理的漏洞提交渠道，一些IT人士即便发现并向某企业提交了其络的安全漏洞，又能给当权者以合适的照顾部分企业根本不重视，也没有立即修复的积极性。其结果，可能造成这些被发现的安全漏洞被传播的范围越来越大，最终造成用户信息被大量泄露，有了乌云站与互联企业的良性互动，某些络存在的安全漏洞倒能被及时发现，并得到修复，其影响会降到最低程度。

不过，律师对乌云和白帽子的行为还是颇有微词。假如乌云是一名 善意的黑客 ，其目的仅是帮助企业修补漏洞，那么乌云应该私下就找出的漏洞与企业沟通，而不是公之于众。上海律师协会信息络与高新技术委员会主任商建刚律师表示，如果白帽子在没有得到企业或厂商允许的前提下，入侵该企业的络，这种行为本身就是违法行为。

关注ITBear科技资讯公众号（itbear365 ），每天推送你感兴趣的科技内容。

特别提醒：本内容转载自其他媒体，目的在于传递更多信息，并不代表本赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接及连带。如若本有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。

什么减肥产品比较好
邢台治疗白癜风方法
宝宝拉肚子吃什么好