乌云网引发的是非发现安全漏洞要不要公开

此次携程网的安全漏洞曝光，让乌云网再一次进入公众视野。其实，乌云网曾多次曝光知名网站安全漏洞。

人们对乌云网及其背后的“白帽子”(指一些善意公布公共网络安全漏洞的IT技术人员)充满了好奇：他们究竟是侠客?危险分子?或是一些网络维护人员眼中的“捣蛋鬼”?

乌云多次曝露网站漏洞

公开资料显示，乌云网络平台2010年5月上线，是一家网络漏洞报告平台，主要创始人为百度前安全专家方小顿——这位1987年出生的国内知名黑客“剑心”，因在2010年2月和李彦宏一起参加湖南卫视《天天向上》节目，为女友高歌一首为人所知。此后，方小顿联合几位安全界人士成立了乌云网，其目标是成为“自由平等的”漏洞报告平台，为计算机厂商和安全研究者提供技术上的各种参考以及漏洞bug的修复。

乌云网上线后，先后曝出知名IT社区CSDN、天涯、当当、京东商城等网站存在安全漏洞，于2011年声名鹊起。

表面上看，“乌云”像是一个社区性质的网站，依托平台用户发现漏洞，然后曝光，可能无法保证问题的准确性。但是，记者根据已经公开的信息发现，乌云所曝光的漏洞基本都存在，能迅速得到相关企业的回应。

腾讯公司在其2012年度“漏洞奖励计划”工作报告中指出，2012年腾讯产品的安全漏洞数字为2288个，其中来自TSRC漏洞反馈平台(腾讯安全应急响应中心)的有1910个;通过非官方渠道报告漏洞378个，主要来自乌云漏洞报告平台，提供了其中的302个安全漏洞。

公开漏洞或被不法利用

如此高频率、高密度的曝光，既给乌云网带来了广泛的知名度，也在业界及公众间引发了不小的争议。

有人质疑乌云网：他们是否应该将漏洞公布于众?“漏洞的细节都被暴露无遗，如果有其他不良用心的黑客，很容易根据这些消息侵入被曝光的互联网内部，进行违法行为。”网友“飞轮201”认为。还有人质疑乌云网的“白帽子”借曝光技术漏洞，向有关企业要挟，以获得回报。个别被曝光的互联网企业对于乌云网也深感无奈，有企业认为，乌云网不时公布些耸人听闻的消息，实际上是在炒作自己，有些被曝光的所谓漏洞，其实并不是什么大问题，企业自身也早已关注到或者已经解决。

乌云网发言人、创始人之一的孟德曾就此表示：“在厂商未确认或驳回前，公众不会看到漏洞的具体细节，黑客很难根据这些消息进行违法行为。”对于是否属于炒作，孟德并不否认。

事实上，送礼物或奖励，是厂商给予提交漏洞的“白帽子”的一种报酬。乌云网的发言人表示，在国内，由于厂商对提交漏洞者的轻视或偏见，向第三方漏洞平台给予丰厚奖励的比较少(360、腾讯、新浪等企业对自己漏洞收集平台则有奖励规定)，大多是T恤衫、笔、水杯等纪念礼物，以及少量的奖金。

“乌云更多带来良性互动”

在IT业界内部，更多的是对乌云网支持的声音。金山毒霸安全专家李铁军表示，乌云网在公布这些漏洞时，实际上是些简单的摘要、厂商态度，以及漏洞可能造成的后果，“这些信息不足以对网络安全造成威胁。”李铁军说，一些白帽子通常只在两种情况下才会公布漏洞的详细细节，一种是被曝光的网络已经修复漏洞;还有一种则是个别公共网络长时间置之不理。

李铁军表示，在乌云网成立之前，因为没有合理的漏洞提交渠道，一些IT人士即便发现并向某企业提交了其网络的安全漏洞，部分企业根本不重视，也没有立即修复的积极性。其结果，可能造成这些被发现的安全漏洞被传播的范围越来越大，最终造成用户信息被大量泄露，“有了乌云网站与互联网企业的良性互动，某些网络存在的安全漏洞倒能被及时发现，并得到修复，其影响会降到最低程度。”

不过，律师对乌云网和“白帽子”的行为还是颇有微词。“假如乌云网是一名 善意的黑客 ，其目的仅是帮助企业修补漏洞，那么乌云网应该私下就找出的漏洞与企业沟通，而不是公之于众。”上海律师协会信息网络与高新技术委员会主任商建刚律师表示，如果“白帽子”在没有得到企业或厂商允许的前提下，入侵该企业的网络，这种行为本身就是违法行为。

广州注册公司需要什么资料

广州筹划税务报告

中山筹划税务技巧