黑帽駭客攻擊事件頻傳，為了推動臺灣資安防護能量，HITCON臺灣駭客年會9日宣布推出漏洞回報公益平臺VulReport,，10日開始營運，讓有能力的白帽駭客（資安研究人員）有發(fā)揮的空間,，不要轉向詐騙,、吸金等黑色產業(yè)，并改善臺灣的資安現(xiàn)況,。希望號召企業(yè)主動登錄注冊,，讓VulReport平臺能找到企業(yè)對的資安窗口，能即時通報,。

VulReport營運團隊成員蘇展志指出,，社會對駭客有負面觀感，因為常發(fā)生無聊的駭客亂改網站的事,，或是黑帽駭客跟黑道掛勾形成黑色產業(yè)的情況,。然而，駭客其實是資安研究人員,，漏洞是資安攻防的關鍵,，應該讓駭客有更好的方向走，投入資安產業(yè),，避免投入黑色產業(yè),。

（圖說：HITCON推出公益漏洞回報平臺VulReport,，提升臺灣資安防御能量,。圖片來源：截自VulReport。）

臺灣是全球殭尸網路第四大國,，有很多弱點沒有被修補,，企業(yè)對資安的理解不高，也沒有一個統(tǒng)一的弱點回報平臺,。蘇展志說,，過去就算直接通報企業(yè)，企業(yè)會覺得駭客在找碴,，并不領情,。所以HITCON主動成立VulReport漏洞回報平臺，讓駭客,、企業(yè),、政府之間形成良好的循環(huán),，除了讓臺灣的駭客往正面方向發(fā)揮所長，也提升臺灣資安防御的能量,。

此外,，國際普遍鼓勵駭客找出漏洞，能形成正向的資安環(huán)境,。像是Google就成立Project Zero,，鼓勵駭客找出Google的漏洞，并給出高額獎金,，最高給到20萬美金,。2014年8月，阿里巴巴也成立安全賞金計畫提供500萬元獎金,。中國的烏云平臺也有通用性軟體安全漏洞獎勵計畫,，感謝100多位白帽駭客發(fā)現(xiàn)200多個漏洞。

VulReport強調會審核漏洞,，確定有問題才會放在公布在網站上,，會把廠商的名字隱匿，也會隱蔽重要資訊,，不會公布所有細節(jié),。

蘇展志說，一般企業(yè)不用付費就可以得到漏洞通報及諮詢服務,，針對NGO,、學校、無自行修復能力小的中小企業(yè),，VulReport會提供修補服務或諮詢,，也會提供學校資安社團參與資安弱點修補實務訓練，整合原本零散的安全研究人員或社群,。

（圖說：VulReport漏洞揭露流程,，至少確認一個月后才會對大眾公開,。圖片來源：郭芝榕攝影。）

此外,，VulReport指出「負責任的揭露」的重要性,，有規(guī)模的企業(yè)可以成立安全回報中心，像阿里巴巴就成立安全應急響應中心,。小型企業(yè)應該在網頁上放置責任資安揭密政策,，歡迎駭客正向回報網站的問題，可以規(guī)定回報的細節(jié)并感謝幫你找到問題的駭客,，這是很重要的關鍵,，駭客可以幫你做很多事情,。

為了鼓勵駭客持續(xù)找出漏洞，VulReport平臺會針對找到漏洞的駭客計算積分,，會員所提供的年費及額外的企業(yè)贊助,，都會用來營運平臺及提供駭客獎金。有政府和更多企業(yè)贊助這個平臺,，可以讓駭客得到適當?shù)幕仞?，這個平臺才能永續(xù)經營。蘇展志也強調,，企業(yè)贊助VulReport是認同這個平臺，VulReport還是會善盡責任揭漏企業(yè)的漏洞,。

此外,，HITCON也持續(xù)往下培育資安人才，17,、18日將在臺灣舉辦第一屆臺交網路攻防搶旗賽,，先前常參加國際網路攻防競賽的HITCON戰(zhàn)隊，也將參加2015年東京SECCON CTF新的賽制比賽,。

文章來源：機房監(jiān)控 http://rupm.cn