白帽子为什么不把漏洞直接发给厂商，而选择发到乌云上面？

这两天安全圈很热闹，由于一些其他原因，不便表达自己的想法和感受，当然也看到很多知名人士、白帽子在知乎社区的一些对乌云的讨论和看法，我也做了部分收集，详见后文。：）

他们说：

TK：很多年前，厂商们认为报告者不应私自泄露信息，有义务无限等待；自己则有很多苦衷，所以有权力无限拖延。

现在，多数大公司还是比较讲理的，但发封邮件长期得不到回复的情况并不罕见，一个漏洞补好几年的情况也并不罕见。个别不讲理的，会给你回一封信，信里明确告诉你：
1、这漏洞具体什么能确认，什么时候能处理，我们不会告诉你。
2、也别来信问，问了我们也不回。
3、你不能私自泄露。
别笑，这事儿是真的，公司也真的是大公司，是你们人人都知道的一个大公司，是一个如果说出公司名字就会有无数血粉鞋都顾不上穿跑过来骂我的公司。
小公司就甭提了。

猪猪侠：

我已经有一份稳定的工作，我爱好安全而又没有任何压力驱使我使用我的技术去谋取非法利益，我能够以正确的渠道展示自己获得更高的荣誉和工作机会。纵观国内现状，如果我将漏洞提交给厂商，他们必定会将信息封闭处理，不让任何人知道。

信息的严重不对称，会导致整个行业的安全现状很难得到改善，白帽子将漏洞提交到乌云平台上，不但可以使厂商及时修复存在的问题，后期漏洞信息的公开，还可以为更多厂商的技术人员提供参考，不犯别人犯过的错误。

乌云提供了一个尊重、开放的第三方渠道，我能够在这里认识到很多优秀的人和他们交流获得提升。

有多少社区会愿意选择让一个跟自己的文化基调极不相符的人加入呢？人际交往和技术交流不是一厢情愿，而是“礼尚往来”。想结交业界精英，必须先让自己名列其中，大多时候，没有人会愿意浪费时间和不在同一层次，没有共同语言的人做交流。

只有在开放的第三方提交漏洞，我才能证明我和他们一样优秀，才能结交更多优秀的人，才能有更大的进步，这就是我为什么将漏洞提交到乌云的原因，也是我后期持续提交漏洞的内在驱动力。

乌云的白帽子群体生态，使大家逐渐放弃了个人利益，免费提交自己发现的漏洞，同时通过阅读他人提交的漏洞并思考后改进再提交。这个社区能让我们所有人走得更远。

某匿名白帽子：

个人经验:还是不要作死的自己去联系厂商。我先前发现一家售卖汽车GPS电子产品的网站存在漏洞，那天吧，脑子一热，好心的去给那家公司打了电话（用了自己的手机打的，没想到用公共电话什么的），向他们告知他们公司的网站存在漏洞，让他们尽快修复。告知完了我就被威胁了！被威胁了！他们公司的人后来下午打电话给我和我说了一大堆，简单的意思就是:既然是你发现的漏洞，你就得帮修复，不然就报警抓你。
当时我听完，心里一万头草泥马奔过，这什么鬼，我一没向你们要钱，二没改动任何数据，完了我还帮你们仔细分析了漏洞。我好心告知，结果被狠狠的威胁。挂了电话，我差点就哭了，这造的什么孽，要是我不修复好，我一正值大好青春的小丫头就得被警察叔叔抓了。唉，最后，熬了俩通宵，终于把漏洞给修了，求神拜佛的把那姑爷爷送走了。到现在为止，想想还心有余悸。所以，还是提交乌云吧，毕竟剑心蜀黍是大神，佛光普照，驱散恶灵，至少木有人敢威胁你，不仅木有威胁，你还能拿到money和乌币，还能用rank炫耀一把，这不挺好的吗！珍爱生命，远离作死！
最后，送你两副对联:
上联no zuo no die why you try
下联no try no high give me five
横批: let it go!

上联:no zuo no die why you cry
下联:you try you die don't ask why
横批:just do it!

某匿名白帽子2：

0.很多厂商只留有客服联系方式，而客服又根本不知道什么是漏洞，根本没办法直接联系厂商啊。
1.和厂商联系之前，任何人都不知道厂商的态度。万一对方重视的不是修复漏洞，而是被发现漏洞要来打官司，我想任何一个人都没有那个精力去频频应对厂商的一整个法务团队。而提交给WooYun，只要自己确实没做出格的事情（脱裤之类的），大可放心。
2.WooYun不仅仅是一个漏洞平台，还是一个社区。在社区里有各种有趣的讨论，可以结识更多小伙伴，这些都是直接提交厂商做不到的。
3.WooYun所有漏洞都是会公开的。通过研究别人的漏洞，可以提升自己的水平，而这一点在别的漏洞平台or企业SRC都是没有的。虽然企业SRC的奖励更可观，但是我认为相互学习更加重要一些。
4.证明自己的能力。现在WooYun知名度越来越高，WooYun的rank也越来越被企业承认，甚至成为了一些企业安全岗位招聘的要求之一。
5.WooYun有众测。只要能力足够，参加众测挖几个高危，外快大大的有。
6.WooYun有知识库。只要有能力，对技术有独到的见解，发表文章分享技术，既能自己重新梳理技术点，又能证明自己的能力，还有奖励可拿，何乐而不为呢？

女白帽子—肉肉：

1：官方的态度不明确。不知道这是一个勇于接纳自己错误的厂商还是一个第一想法是“我被黑客入侵了，我要报警”的厂商。或者是你的邮件发过去直接石沉大海了，如果你联系到的人不是企业安全负责人，人家根本就觉得漏洞是什么呀，好像和我没有关系呀（哪怕是联系到开发也有很多这样的态度的呢，能直接联系到企业安全负责人还是有一定难度的并且有些企业根本还没有负责安全的人啊）

2：我们是真的想要企业解决安全问题呀。即使现在有各种src收自己企业的漏洞，他们还是有一些“我们要把用户的头埋进沙子里，做一只看不见漏洞的鸵鸟”的目的，src的漏洞不会公开，这样用户也无法知道自己的信息是否还是安全的，有些漏洞修复成本较高可以直接放弃修复（仅仅是较高并不是很高哦）。

3：乌云的技术交流氛围很好，我能在好的氛围里好好学习，参与到大牛们的讨论中我能学到更多。

4：通过乌云展示自己的能力对以后的发展也有一定好处，比如现在不少企业的安全岗位招聘会说明“有乌云账号者优先”等。

匿名白帽子3：

我来说一下，在乌云没出来之前，或者说乌云还没影响力之前，整个圈子是怎么一个玩法吧。

1. 两年多前，朋友发现一个大站后门（真的是后门，开发留的，cmd=XXX丢服务器跑一晚居然真跑出一句话），然后几个人去内网转了一圈，有没有收获就不说了。最后我拿小号加了那开发的qq跟他说这事情，他让我自己玩就行了，别到处跟人说。

2.上面的例子再早一点的时候，我花了一个月时间去研究一个很著名的行业软件，人生第一次写了正规的代码审核报告，先把自己出的修复方案发给老师先去修复（我们也用这玩意），然后邮件和微博找了他们的官博、技术负责人（貌似还是CTO），等了一周后得到客服的回复：我们的产品经过了严格的内部code review，产品没问题，你别来搞事啪啪啪之类的话。。到现在我也没搞清楚他们到底有没有看了我写的报告。-1day跟人玩了一年多，最后终于漏出去了。厂商这时候开始忙活。

3.发漏洞给厂商然后给厂商阴了一把的举手吧

-------------

对白帽子来说，乌云这些第三方平台的存在，就是为在整个生态链中处于弱势的白帽子提供中立的、可以跟厂商对话的平台。

题主可能是觉得乌云这类第三方是在给白帽子/灰帽子/黑帽子充当保护伞的角色。这种想法有点太简单和理所当然了。

匿名白帽子4：

我谈下我个人的想法。

起初就是很简单，提交一个漏洞，企业能够第一时间获知漏洞细节，漏洞得到改善。说实话对于我个人而言，用他们的产品也更放心。

在有了乌云账号以后，我结交了很多社区的朋友，原来玩安全相对比较孤独，这让我有了团队的感觉。

后来在不断提交各大厂商漏洞的同时，也认识了不少甲方/乙方的朋友，并且得到了他们的认可。这点极为重要，对我个人而言 也是人生的一个新的转折，后来正式踏入安全圈。

总结：就是很单纯的提交漏洞，得到企业的认可，实现自我价值。

匿名白帽子5：

先介绍下自己。
我在乌云和360都提交过漏洞，也曾经试过直接联系厂商。
在哪提交漏洞主要考虑三点：奖励，安全性，装逼。

首先说下奖励，挖洞是一件很辛苦的事，你需要耗费大量的时间和精力去发掘漏洞。也就是说，我们的成本很高，我们不可能不断地无偿地向任何人提交漏洞，而且我们也没这个义务。
奖励方面360比乌云高，厂商的话看脸，见过厂商给提交漏洞的人发了好几万的，也见过什么都没有的。

安全性，在挖洞过程中不可避免会获取到企业的一些很重要的信息，所以很容易就会被查水表。这个看厂商，有的厂商觉得你威胁到了他们，所以就会给你寄律师函，让你坐几年牢什么的。有的厂商会很感谢你帮助他们加固系统，会给你寄钱，顺便给你几个offer。
因为那些讳疾忌医的无良厂商的关系，一般我们都不会直接联系厂商了。在第三方安全平台，如乌云，360之类的提交漏洞会比去src或者直接联系厂商安全得多。

如果你了解互联网黑市和黑色产业的话，你就会知道实际上乌云，360或者厂商给的奖励都远远低估了你所提交的漏洞的价值。这些奖励其实对大部分黑客都是没有吸引力的。但为什么还有人愿意冒着危险去提交漏洞呢？答案就是为了装逼。
我们为了荣誉（zhuangbi）而提交漏洞。
和朋友吹牛的时候只需要给个乌云id，让对方自己去看，瞬间你的形象就变得高大了。os：看，老子把google都黑掉了，但我这人又伟大又高尚，所以我把漏洞给了它让他慢慢修去，反正我还有其它漏洞。
这方面无论是360或者其他平台的src就远远比不上乌云了。所以更喜欢把漏洞发到乌云，和大牛们吹牛。

PS：看了这么多知乎匿名用户，有何感想？国内态度不良的企业，该醒醒了。

原文始发于微信公众号（301在路上）：白帽子为什么不把漏洞直接发给厂商，而选择发到乌云上面？