【新锐】在争议中前行，罗清篮和他的“漏洞银行”

正文

请到「今天看啥」查看全文

无论实际情况如何，并未与 360 达成合作的罗清篮在 2010 年一度举步维艰。他告诉安在记者，公司一度陷入工资发不出、房租交不上的窘境。所幸，在 2011 年，他们获得利物盛集团投资，创办了上海利物盛网络科技有限公司，逐步走上了正轨。经过几年的努力，这家以网络安全为主业的公司已经获得了包括大众点评、 1 号店等重要客户。

2013 年底，罗清篮从“乌云”的运营模式中获得了启发——当时，乌云是业内“白帽子漏洞提交平台”模式的首创者。

罗清篮发现，乌云的模式尽管帮助企业与白帽子达到了双赢，但仍有可改进之处：一方面，乌云公开企业漏洞的模式会让企业很不满意；另一方面，罗清篮认为，乌云在对白帽子的管理上仍有可提升之处。基于这两点考虑，一个“漏洞银行”的点子浮现出来。

经过一年多的考察，漏洞银行平台在 2015 年初内测上线。

这一平台的主要特点有二：首先，平台上的白帽子们仅对开放授权的企业进行漏洞测试。这一做法规避了法律风险，让白帽子得到更大的保护；另一方面，白帽子也必须向平台提交自己的身份及 IP 信息作为备案，确保测试漏洞过程中的每个动作都可以溯源。“这样，企业也不用担心白帽子找到了 10 个漏洞，只拿 7 个出来，另外三个留着自己牟利。”

罗清篮的主营业务也与漏洞银行形成了联动——他们可以通过自身的技术知识与引入的第三方安全专家，对白帽子行为进行监控，这种监控能够有效消除甲方企业对白帽子的恐惧，“我们打造了一种很稳固的体系，这个体系会减少很多未知的恐惧。”

漏洞银行建立之后，也受到了不少质疑——有质疑者称，漏洞银行一度存在将并未授权的公司作为客户展示的现象，还有白帽子声称自己并非漏洞银行的注册白帽子，却被列入了排行榜。

对这些“语焉不详的指控”，罗清篮表示自己并未看得太重：“我从小就是这样，很多人反对我做一件事情，反对了很多年，但是最后我还是做成功了，我一点都不畏惧反对的声音或者是被黑这件事，无所谓的。我也不会去很在意这方面。”

当然，他也承认，一个平台在不断发展过程中，必定带有试错的过程，“这些试错带来的负面消息其实反而是有利于平台发展的。我们在得知这些负面消息以后，在第一时间建立了自身的反省和纠错机制，来不断优化和改进平台的规则和功能。”

在之后安在的访谈中，罗清篮一一回应了对“漏洞银行”质疑。

安在：怎么想到做“漏洞银行”？

罗 ：其实是基于乌云模式的启发。我们在做“漏洞银行”之前很长一段时间，曾经发现了很多企业的漏洞，包括淘宝的漏洞。我们也成立了一个平台叫做“ bugwe.com ”，尝试做一些漏洞通告的事情： 当我们发现了漏洞，直接去通知企业，不曝光。

我个人也发现了乌云的一些缺点：一方面是曝光问题，曝光企业漏洞，企业就会很不满意；第二就是他们的白帽规范做的还不是太到位，有弱点。我们当时就想，能不能解决这些弱点问题，去做一个更好的平台？所以就有了做“漏洞银行”的想法。我们是从 15 年 5 月开始做漏洞银行，内测差不多有一年的时间，这一年我们都没有去做推广，完全是在内测。

安在：“漏洞银行”在你看来是一种什么样的性质？

罗 ：我自己本身是做白帽出身的，研究技术领域。我很了解白帽的想法，我的初衷是想让白帽这个群体走到阳光下。

请到「今天看啥」查看全文