看到南方周末的 乌云网停摆, 有一点浅陋的思考.

诚然, 目前对乌云进行处理的方式只会恶化网络安全的环境.

但是, 之前的各个步骤在合法性上也的确存在缺陷:

1. 白帽子随时对任意网站进行任意类型的安全检测;
2. 白帽子在检查出漏洞后进行一些敏感的操作;
3. 乌云公开厂商已修复/未修复的漏洞;

白帽子可能会抱怨对他们的要求太过苛刻, 但不要忘记, 你们是以安全的名义进行的活动, 如果不能保证自己的活动对厂商是安全的, 岂不有点矛盾. 从这点上来讲, 白帽子是需要自证清白的, 或者有相关机构能够证明其行动的合法性.

这些根本的合法性的缺陷不解决掉, 对于安全行业和白帽子始终是一个隐患. 据我所知, 对此种模式存在质疑的开发者和小厂商其实不少, 但并不会公开表达, 毕竟在互联网混饭吃, 谁也不愿意得罪一个有攻击力的群体. 这从某种角度上来说, 也是一种胁迫.

乌云公开厂商的漏洞, 有时候会对厂商造成巨大的利益损失. 对追求利益的商业公司来说, 这是难以接受的.

或许可以:

1. 漏洞平台需要经过厂商的同意(邀请厂商加入或厂商主申请加入), 才接收该厂商相关漏洞;
2. 漏洞平台公开处理漏洞的方式应该是记载在厂商同意的合约当中;
3. 明确界定渗透测试和恶意攻击的界限(实在忍不住吐槽下某些通过弱口令进入邮箱后翻遍邮件再报告的人)
4. 白帽子详细记录自己的每一步操作, 每一个网络请求, 提交漏洞后, 交给厂商审核;

既想要有黑帽的自由, 又想要有白帽的合法性, 没那么容易吧.