开源的理念做安全：FreeBuf与HackerOne COO王宁对谈安全众测

今年二月份，全球最大的漏洞众测平台HackerOne完成C轮4000万美元融资。所谓的漏洞众测平台，也就是嫁接白帽和企业之间的桥梁——现如今的安全问题仅寄希望于企业自身的安全团队是不够现实的，所以越来越多的企业期望寻求白帽的帮助——国外许多媒体将白帽称为ethical hacker（道德的黑客），这群人通过为企业寻找漏洞并上报来获得企业提供的报酬。

HackerOne的COO（首席运营官）兼CFO（首席财务官）王宁告诉我们，所谓的漏洞奖励计划（或称漏洞赏金计划，bug bounty program）是谷歌、微软、Facebook这样的大型科技企业最先提出的，“他们是安全众测的创始者”。而更多的企业没有成本和时间去维系自己的众测平台和白帽的运作。

HackerOne就是最早一批提供安全众测外包的一家企业。

HackerOne COO王宁（左）与CEO Marten Mickos（右）

“很多大企业的安全队伍会选择自己建一个平台——平台当然可以简单地去建，白帽也可以简单地将漏洞上报给你，但是要把这个平台建得非常Sophisticated，建得好，还要将白帽管理好，就不是一件很容易的事情了。”

我们有机会采访王宁女士是她前来拜访FreeBuf期间，这是个谈吐亲和、大学之后就开始常年呆在美国、如今女儿都已经上大学的人。坐在王宁对面与她聊天不会有任何压力，即便她相继在北大拿到物理学学士、在加州大学伯克利分校拿到物理学博士学位，理应是个学者，却依旧像是话家常的样子。

大约是在美国呆的太久的关系，即便她在与我们的对谈中极尽所能地在自己的语言组织里去找中文对应词，许多词汇最终也只能以英文表述，像是Sophisticated——这是个在安全行业内更多用来形容攻击的词，在这里也的确更为精准。我从王宁身上理解的HackerOne，就是个具有开源精神、从各处汲取能量的企业。

安全众测的普及“只是迟早的问题”

在HackerOne的C轮融资中，有个投资方是来自欧洲的风投基金EQT Ventures。这并不奇怪，因为HackerOne现如今在欧洲的业务亦正在扩张：前不久HackerOne宣布其欧洲客户数量年同比增长240%，欧洲最大的航空公司汉莎航空、电信服务提供商瑞士电信、芬兰保险业巨头LocalTapiola现如今都是HackerOne的客户。

即便目前安全众测市场正有越来越多的竞争者加入，HackerOne都是目前全球盘子铺得最大的安全众测平台，其社区的白帽数量已经超过了10万人。目前这家公司已经为全球超过800家企业机构解决了超过42000个安全漏洞。2016年在HackerOne平台发出的奖励就有约690万美元。其白帽获取到的奖励相较其他平台都明显更多。

上个月Intel刚刚成为HackerOne的客户，这家公司在HackerOne平台发布漏洞奖励计划，提供至多30000美元的奖励。王宁笑着说：“所以我们现在可以告诉大家Intel是我们的客户了。”

实际上Intel在大型科技企业中入主HackerOne的时间算是比较晚的，而且在HackerOne的历史上更大牌的客户还包括了美国国防部，Hack The Pentagon和Hack The Army项目去年基本上已经帮HackerOne赚足了名气。

“后来我们拿到美国国防部的项目是需要招标的，大家去竞争最终看谁能拿下。”聊到和政府的合作时，王宁对国防部的工作态度很欣赏：“我们在和国防部合作之前，以为和政府做事会比较慢，或者比较官僚（cratic），其实这方面也会有些问题。但给我印象比较深的是，和我们合作的这些政府工作人员，他们很专业；而且标准设立地非常好，跟他们合作很舒服。

“他们周末也在工作发Email，这是我以前没想过的。而且他们对于自己想要的结果、各种细节都很井然有序；他们提的各种要求也相当合理。所以从准备阶段一直到最终，都让我感觉是很好的经历。

“而企业之间的差别则很大。有些大型企业懂得很多，我们不需要给太多支持。比如说Uber就是这样的情况，他们的安全队伍和CSO懂得本来就很多，所以我们只需要提供一些支持，需要去听他们想要什么和需求，我们是去实现这样的需求。

“但有的大型企业本身并没有搞众测项目的经验。所以在这种情况下，他们需要我们去分享怎么开始、准备、制定范围，制定奖金怎么划线，哪些内容需要付钱，哪些不需要，付多少钱。所以大企业之间，我们需要根据需求给予不同的支持力度。”

这些名气响亮的科技企业寻求众测实际上并不奇怪，以欧洲为例，一次入侵事件平均就需要耗费企业400万欧元的成本投入。投入到众测中去所需耗费的成本就低得多了。

“做过众测的人都会认为效果非常好，成本投入比传统安全投入要低得多：有人说是传统安全投入10%的费用，也有人说是5%，就是10:1或者20:1的花费。如果你只是靠自己一个队伍去找漏洞的话，这是不大现实的。我们平台上有十几万白帽，任何企业都不可能去招那么多人为你去发现安全问题。而且黑客遍布世界各地，如果你真的想要走在他前面，就应该利用世界各地这些极有想象力、愿意做好事的人帮你去找漏洞。”

全球最大色情网站Pornhub也是HackerOne的客户

“所以我觉得只是一个迟早的问题。”王宁是指，这种与企业安全团队形成互补的安全众测模式的普及只是迟早问题。先前HackerOne CEO Marten Mickos在采访中曾经提到过：

在攻击者之前就发现软件中的漏洞并实施修复，“最有效的方式就是漏洞奖励计划。漏洞奖励计划能够发现所有类型的漏洞，而且比其他解决方案来得更快。”…“最大的优势在于，你是按照结果来付费，而非工作量的多少。你只需要给白帽提交的有效漏洞付费。所以付的钱越多，就表明你收获的越多。”…“对于许多恶意攻击者来说，他们看到你在运营漏洞奖励计划，也可能会考虑去寻找更容易攻击的目标。”

用开源精神来做安全

实际上Marten Mickos最知名的身份并不在其HackerOne CEO这个位置，他先前做了8年时间的MySQL AB公司CEO，有人评价他是继Linux之父Linus Torvalds之后的又一民族英雄。王宁在采访中告诉我们，作为全球最大的开源软件之一，MySQL的这位前领导人一直都以开源精神在运营着HackerOne，这是个有趣的话题。

Mickos和王宁一样并非安全出身，而且当年HackerOne公司在找Mickos出山的时候，Mickos一度是拒绝的。“我觉得我对安全没什么热情。软件安全行业如此过时、又不能创造生产力。”但HackerOne的几名创始人最终打动了Mickos。“我看到了这样一副图景：安全是积极、有价值的事情，是开发部署软件的组成部分。我也看到了出色的商业模型——一批最出色的安全专家帮助企业做得更安全，所以我就被卖了。”

王宁解释自己加入HackerOne的原因时是这么说的：“我在桉树（Eucalyptus）的时候认识了我现在的老板Marten Mickos，他当时是桉树的CEO，现在是HackerOne的CEO。所以我去HackerOne的主要原因之一就是，我虽然不是安全出身的，但在我看来，安全是个有趣的方向。我跟Marten Mickos一起合作得也一直很默契，所以我也就加入了HackerOne。”

3月初FreeBuf在安全快讯中报道HackerOne开始为开源项目提供免费的漏洞赏金计划Hacker Community Edition，开源项目只要满足一些简单的条件就能申请免费的漏洞赏金计划，奖金则来自Internet Bug Bounty。而且申请加入该计划，对于开源项目的普及程度是没有要求的，包括Brave、GitLab、Ruby等都已经加入了Community Edition计划。

“我们公司很多人对开源软件都有特别的情节和想法，我们的CEO自己先前就是MySQL的CEO。开源是不同的人共同建立起来的，所以谁来找出漏洞、修复漏洞，这对所有人都是有必要的事情。HackerOne本身就鼓励大家去做这件事，这对我们很重要。

“而且我们公司的员工，对开源非常有热情。这个Community Edition本身并不是企业高层的决定，而是自下而上的：大家说我们要这么做，我们才最终做了这么个计划。”

王宁的这番话在我们看来，这可能是HackerOne开源精神的部分展现罢了。Marten Mickos早前就提出过，“漏洞奖励计划与安全协同，相较传统安全，就犹如开源相较于闭源。”这可能就是他的开源情节带来的。

“我们以前会认为以隐秘的方式做事更能提升安全，但事实恰好相反。以前我们选择一小波专家精英来解决安全问题，现在我们知道最好的帮助是企业组织之外的社区。以前我们认为安全有个‘perimeter’，现在我们知道安全威胁是无处不在的，这种画地为牢的安全是很低效的。”

“将开源软件世界中诞生并实践的模式应用到安全领域，是很自然的一件事。”“开源和HackerOne成功的核心都在于社区，企业组织之外有更多强有力的大脑，总比企业内部的要多。如果你能够接纳广阔社区的集体智慧，你就会变得更强大，更具生产力。”

HackerOne眼中的白帽

类比开源项目，在安全领域所谓的社区就是由白帽组成的。白帽在许多国家的身份依旧尴尬，即便在美国都没有非常健全的法律来保护白帽的利益，虽然这两年有相关免责条款出现。不过在王宁看来，这对HackerOne而言根本就不是个问题，而白帽在HackerOne眼里则是一群善良美好的家伙。

“我们平台上的项目都是企业批准发起的，这不存在法律上的冒险问题。在此基础上，你来帮我找漏洞，我要求你必须遵守这几个准则，而且我告诉你只能在这几个范围里来找，不要到那些范围里去找。这样一来对挖洞行为进行规范化，一切都很清楚，白帽也知道要怎么做，什么能做什么不能做。

“HackerOne也从来没有遇到过白帽在这方面的法律问题。最近我们也在考虑，如果有一个白帽持有一个漏洞，想要给到厂商，但不知道怎么取得联系，HackerOne作为一个平台能不能帮助将漏洞提交给厂商和企业。我们在考虑怎么以这种方式，在完全符合法律的情况下去运营。”

谈到许多恶意攻击者会将漏洞挂到黑市上出售，获取的报酬往往比企业自己给出的奖励更多时，王宁相信“这个世界上绝大部分的白帽，他们都期望用合法的途经得到回报”。“我跟这些白帽聊的时候发现，虽然他们想得到更多的邀请，挣更多的奖金，但他们同时也普遍认为，很重要的一点是为系统安全作一定的贡献。”

“这样的人实际上是很多的。如果更多的企业能够用众测作为他们产品开发运营中的一个环节的话，给那些恶意黑客的机会也会越来越少。越来越多的白帽能够率先发现这些漏洞，就能减少那些攻击者的机会，形成良性循环。虽然不会完全没有，但的确能够减少。”

至于漏洞奖金的多少，“这些企业客户，他们心里很有数，一个漏洞对他们而言值多少钱；我们的白帽心里也挺有数的。”总体上，“这是由市场决定的。”“在许多西方国家，很多白帽如果要靠漏洞奖励来养活自己，可能还比较困难，但现在市场发展得很快，再过一两年恐怕就可以了。”

但王宁同时又有个很有意思的观点：“从我们这个平台的信息来看，某些国家的消费水平本身比较低。因为我们的奖励并不会因为地区差异存在多寡，取得奖金的多少就只看漏洞质量。在某些消费水平没那么高的国家，我们平台上白帽的平均收入，实际跟全职——比如做开发的人已经差不太多了。”

Mickos先前在接受国外媒体采访时则说过：“绝大部分黑客是因为热情才去挖洞的，他们对于漏洞有无止尽的好奇心和能量。无论如何他们都想要这么做。他们中的大部分都期望能往好的方向去做，很多人甚至可以免费为开源和非盈利项目挖洞。

“如同HackerOne为免费开源项目订制的Community Edition，甚至在Mickos看来奖金对许多白帽而言都是没大所谓的：“许多白帽说，如果是开源项目，我就愿意免费挖洞。绝大部分人都很善良。”

“过去两年中，在HackerOne平台上拿到最高奖金的白帽已经赚了超过60万美元。有这样的机会赚到钱，白帽就能够投入更多的时间去磨练技能。这样的模式也会变得更强大，对企业客户而言也是好事。”

Mickos的这番描述实际上和王宁所说的良性循环大抵上是同一个意思，大约也是HackerOne对企业和白帽的理想状态：企业和白帽都能过上幸福安全的生活。这大概也是安全众测能够达到的至上境界。

关于王宁

— 宇宙学、CTO、CFO、 COO 与安全—

HackerOne这家企业本身的源起已经被提得太多，几位创始人的经历本身就具备相当的偶然性。王宁和Marten Mickos一样，都是后期被请到HackerOne做管理和策略的。

HackerOne在现如今的安全众测领域真可谓风生水起。Mickos的开源背景自不必多说，王宁与HackerOne的气质似乎本身就很契合，不仅是她在桉树工作期间就对安全行业的青睐，用王宁自己的话来说，“我做的这些事一路走来，都是非常偶然的机会。”这让我们对于王宁自己的过往相当感兴趣，不止于她在对话中表现出来的礼貌和谦虚。

早在上世纪80年代，王宁就从郑州以高分被北京大学物理系录取，当年北大物理系只招5个人。那个时候恰逢文革后恢复高考，“政府本身就很推荐我们去学物理，是很偶然的机会，我就学了物理”，“此前我从没想过能读大学，那都是小说里才能看到的”。

大学毕业后，王宁前往加州大学伯克利分校花7年时间拿下了物理学博士学位。大约不像许多人期望实现远大抱负那样的念书目标，“我就是想看看自己行不行，就是证明自己不是那么笨。”

“我当时做博士论文，就是为暗物质的理论之一做探测器——我找的就是Weakly Interacting Massive Particals粒子，去看看是不是能找到这样的粒子。”

这对王宁而言是她拥有现如今这个位置的基础。王宁的丈夫是个美国人，是个真正搞研究的物理学家，王宁的女儿今年就要上大学，也决定学物理。但她自己说：“我是很佩服我先生，他是很出色的物理学家，但我觉得我改行也真是改对了。”“离开物理学想去经商也是一种挑战，总要给自己找些新的挑战。”

“但物理教会了我怎么去解决问题，可以是科研的问题，可以是Business问题，可以是任何问题。物理学让我了解到，解决问题的时候最重要的不是你知道答案，而是能不能问出一个正确的问题。只要能够问出正确的问题，很多专家都能帮你去找答案。”“我觉得物理给我打的基础非常重要。”

在巴黎做了一年半的博士后以后，王宁一路异彩纷呈的职业生涯就开始了：她前后历经6家创业公司，而每一家都位处不同的行业，比如现如今的HackerOne是安全、早前的CarParts是汽车、Lynda.com则为在线教育、桉树（后被惠普收购）专注私有云…王宁自己在不同企业扮演的角色也在CTO、CFO和COO之间来去切换。就像她说的，为了“挑战”，安全只是其中的一种。

早前她在CarParts的时候，因为午饭时间很喜欢与产品聊天，所以做产品的同事有了新的设计和想法都会与她沟通；乃至此后公司CEO有工程、IT方面大的决策时都会与王宁商量，所以很快王宁成为CarParts的CTO。

“我当时还跟老板说，我不要做CTO，因为我早前就已经离开技术物理方面，我要往商业方面发展。”

但在成为CTO之后，王宁开始真正了解如何去构建一套系统，以及如何对企业本身的业务产生影响。到Bargain Network公司则是因为当时这家公司正在招CTO，起初帮助企业做产品开发；不久这家公司的CFO开始融资，“他知道我在麦肯锡工作过，所以就让我帮忙写Finance相关的内容”，写了一周之后，“他就开始劝我搞财务”。王宁于此从CTO走到了CFO的位置。

所以王宁现如今也是HackerOne的CFO，这是基础。“CFO需要和CEO合作，跟公司每个岗位的人合作，去影响对公司的运营、市场、销售，这让我认识到哪些对公司是最重要的。”往后过渡至COO，是“想要得到更好的结果的话，不光只看财务，要看运营。要知道什么样的KPI是最重要的，如何去影响KPI——如果这些KPI是正确的，能够得到更好的结果，那么财务数据会更好看。CFO要得到好的结果，需要跟运营结合在一起。”

“这些都很偶然。”

“我能做到今天这样实际上是很幸运的，很多人一路上给了我很多机会。”

“我希望自己能够不断更新。”

现如今的王宁在HackerOne负责财务、HR、法律、客户运营、白帽运营等相关工作。这会在很长一段时间内成为王宁自己的“挑战”。或许王宁的这些经历，无论是物理学，还是在各领域的工作经验都能够为安全众测带来不同的思考方式，毕竟她在这个岗位也不过一年半的时间。

“安全众测现如今的发展阶段，我觉得还是很初期。现在很多企业做安全，都是为了合规（compliance）才去做的，而不是真的为了产品，这样的做法未必能够给产品带来更好的安全性。等到compiance也需要大家来做众测了，那个时候就是众测真正普及了，我觉得我们可能还需要几年时间，但速度在加快。”这是王宁眼中安全众测的未来。