众测模式争议中需要深度思考的三个事实

白帽黑客因在漏洞众测平台提交漏洞，遭厂商举报并被警方抓捕一事，在发酵了一段时间之后，终于引起了大规模的争论。争论的焦点集中在“未经授权的渗透测试”这一模式是否应该继续进行下去。

支持方认为，这种模式警醒了漠视安全的企业或机构，吸引更多的信息安全爱好者加入白帽子的行列，为整个社会的安全状况带来了革新。反对方则认为，这种模式助长了测试和闯入别人信息系统的随意性和不负责性，甚至连黑帽子都可以利用这一模式在非法获利的同时以白帽子的身份掩护自己，而且最难反驳的论据是，这一行为涉嫌违法。

在本文中，笔者试着先把争论中的各种论据细节放在一边，而从三个已经发生的事实推导出未来可能的趋势，透过现象看本质，以期引起大家的深度思考，而不是陷入无果的争论。

第一个事实：乌云的崛起

近两年来，通过重大漏洞的曝光，乌云影响力飞速崛起。但大家有没有考虑这是为什么？为什么在众多影响巨大的漏洞曝光后，乌云还能够矗立不倒？

其实许多人都知道答案，重大信息系统的漏洞危害整个社会，揭开比捂着健康，加上给全社会网络安全意识带来的普遍提升，是一股强大的无形力量支撑着乌云。

第二个事实：甲方的态度

这也是业内众所周知的一个事实，被披露漏洞的企业或机构，对外来人员参与渗透测试的态度也在逐渐的转变，这种转变无疑并已经给整个安全行业及至整个社会带来巨大的价值。但仍然还有一些人的思想并未转变过来，尤其是重要行业或领域的国有企业，众测模式对他们来说更是难越雷池一步。

第三个事实：五角大楼的众测

1400名白帽子应邀参加针对五角大楼的渗透测试，并检查出100多个漏洞，这就是美国最高国防机关对众测的开放态度。

透过上述三个事实可以简单抽象出一段结论：漏洞众测是真实的安全需求，是有效的安全解决方案。我国目前的众测模式还处于起步阶段，未来很可能有着巨大的发展潜力。

相信这一结论大多数人都不会反对，实际上大家争论的焦点还是“未授权的渗透测试”，至于漏洞披露与否或披露方式则是建立在这一基础之上的，因为取得授权的前提是双方要达成对漏洞披露的一致，而未取得授权的漏洞披露主动权，显然掌握在发现漏洞的人的手上，不管是选择在某平台上发布，还是个人发布。

以上就是对中国漏洞众测现状的基本陈述，现在让我们深度思考一下：

人类文明史上，任何一项革新都会受到传统思想的置疑和巨大阻碍。其实，双方没有绝对的谁对谁错。不是说革新就意味着正确，。而且，革新往往意味着叛逆，甚至是违法。保守则意味着保护现有利益，维持稳定与和谐。

两者的冲突从来都是在所难免，关键在于革新带来的价值是否大于破坏，是否只是一个“乌托邦”，是否只是一个“理想国”，是否得到了时间和实践的验证。而有法可依，有理为据的保守方，也不应该被扣上“阻挠革新”的帽子。维持现有法规秩序，保证既得利益的非极端思想，无论如何也不应该受到过多的指责。

问题是，我们该怎么办？

是默许各种“非授权渗透测试+漏洞公开”的模式给企业带来的骚扰和痛苦，还是与国际接轨或挥舞起法律的利剑，将其强行合规？无论前者还是后者，都不能忽略中国特色的现状，都不能绕过国内信息安全意识普遍薄弱，网络安全法规还不甚健全的事实。

没错，“在未经授权的情况下严禁对任何系统进行渗透测试”也只是国际开源安全测试组织或者国外安全行业默认的规定，中国的法律还没有规定的这么细。

没错，众测必须取得受测方的授权是一个对双方而言，都非常不错的测试行为守则。但我们知道，众测模式出现以前国内的安全现状是什么样子的，这个盖子在被揭开之后，带来的价值是否远大于其破坏力？

没错，未授权的众测模式令一些企业的确受到了困扰和伤害，并在某种程度上纵容了一些不讲道德黑客的不良行为。但在我国信息安全意识普遍薄弱，众测模式还处于起步阶段，许多保守的企业普遍处于观望和置疑态度的今天，直意否决这项已经带来深远意义和巨大价值的安全模式，是否有欠思考和过于激进？

清朝末期，美国人向慈禧太后推荐刚刚兴起的火车时，老佛爷这样回答：

还是轿子好，既安全又舒适。