CNNVD漏洞奖励计划 | 积极促进开展漏洞预警及风险消控工作（三） - 新鲜讯息

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

编者按

国家信息安全漏洞库（CNNVD）漏洞奖励计划主要面向单位、团队、个人等社会漏洞研究和发现者。该计划以公平公正、科学择优和安全保密的原则对其发现报送的符合条件的高危通用型漏洞进行奖励，旨在鼓励和引导这些漏洞研究和发现者积极有序向国家提交高价值漏洞信息，进一步促进我国网络安全漏洞预警及风险消控工作的开展与落实。CNNVD 是中国信息安全测评中心切实履行漏洞分析和风险评估的职能之一，为我国信息安全保障提供基础服务。今年，CNNVD 对收集的通用型漏洞，经过规定的程序筛选和评审后，对送报符合条件的高危及以上漏洞的单位和个人实施奖励，鼓励他们在我国网络安全漏洞预警及风险消控工作中发挥的积极作用。为此，本刊采访了获奖个人和获奖单位代表。

用人工智能和自动化手段提升洞挖掘能力

杨卿

腾讯安全天马实验室负责人

漏洞和情报是安全的本质。不管产业发展到什么阶段，这两个都是安全领域最重要关注的核心问题。安全人员的本职工作就是始终需要比攻击者更早预判新型攻击，以及更早发现高危漏洞的能力，同时，还需要持续保持预见性及前瞻的技术能力。

2020 年，太阳风（Solarwinds）事件让供应链攻击成为显学。在这之前，深刻触动我的是 2015 年的 XcodeGhost 事件。当时，对我最大的触动是，我对生产力工具产生了“信任危机”。每天陪着我的这些操作系统和天天使用的开发工具，让我从心理上产生了不能信任的感觉——用现在热点的话说是“零信任”。这些事件给我的反思是，需要对自己平常的生产工具或者企业内部系统平台的运营进行持续的常态化监测，不能一开始就把他们放进我们心理的“白名单”，要始终对它的安全性提出质疑，要时刻有所顾虑。

最近印发的《数字中国建设整体布局规划》显示，未来国家会从战略层面加大投入数字基础设施和新技术，例如 5G、AI、物联网、卫星互联网、云计算等。可以预见，这些新技术的发展和新基础设施的建设必然也会带来一些新的安全问题。然而，一些新的安全问题等，例如卫星互联网的安全问题等，可能还没有受到充分的关注。这是我们天马实验室重点研究的领域。

网络安全和技术发展相伴相生，这是每一种新事物发展的必由之路。作为安全从业人员，我们的核心任务就是要先于攻击者一步甚至几步发现潜在的安全隐患，并配合国家主管单位和相关企业机构共同解决这些问题。

然而，只做到这一步还不够。随着数字化程度加速，各种新的基础设施建设和新技术带来的漏洞数量将会呈指数级上升。这对安全人员的能力提出更高要求。除了挖漏洞之外，安全人员还需要设法把研究能力赋能产品和产业，提高漏洞挖掘的“产能”，并借助人工智能和自动化手段提升洞挖掘的能力。如果前者是从 0 到 1 的过程，后者就是从 1 到 N 的过程，这两个工作都很重要。

腾讯安全联合实验室在做了很多从 1 到 N 的尝试，把攻防技术能力产品化，以及把实验室技术和已有的产品结合，增强安全产品的性能和防护能力。此外，我们也和高校、企业建立联合实验室，把安全能力输送给学校和企业。腾讯安全联合实验室有顶尖的安全研究专家团队，与 CNNVD 等国家漏洞主管单位也保持了很好的沟通机制。腾讯安全多年来一直是 CNNVD 的支撑单位。

现在，有一些黑帽利用科技手段挖企业的漏洞，参与黑产行业牟利。他们的技术水平未必有多好，但是却能聚敛巨额财富。对于安全从业者来说，我们需要保持正确的价值观、做正确的事情，有定力抵制诱惑，懂得平衡与取舍。如果把网络安全技术比做“武术”，它能强身健体、保卫家园，但也附带了破坏性，所以练武之人更需要修道，更需要有底线，也就是我们常说的能力越大责任越大。

通过“战训一体”培训模式提高挖掘漏洞能力

郭锡泉

清远职业技术学院

从行业观察和产业发展的角度看，我国建立了国家信息安全漏洞库（CNNVD）等漏洞平台，大型互联网公司也相继成立安全应急响应中心（SRC），这些都反映了行业、产业对安全漏洞越来越重视。

我所在的单位非常重视漏洞管理工作。我们组织老师和团队成员用两三年时间编写的《Web安全漏洞及代码审计》教材，已由电子工业出版社正式出版。在课内，我们使用这本教材进行教学和实验实训；在课外，我们鼓励学生向 CNNVD 等平台提交漏洞，通过“战训一体”的人才培养模式，不断提高学生挖掘漏洞的能力，加深对漏洞知识的理解。

国家信息安全漏洞库漏洞奖励计划具有激励作用。我希望 CNNVD 不断加强宣传，扩大影响，让更多年轻人认识网络安全，热爱网络安全，从事网络安全相关工作。

互联网上存在无数的服务器和网站。它们是取之不尽的漏洞挖掘资源，构成一个永不停息的网络安全竞技场。我期望，网络安全爱好者通过漏洞挖掘成长为行业的技术专家，一起致力于保卫我们国家的网络空间安全。

发挥 CNNVD 漏洞奖励计划打击黑客活动的积极作用

王众

从行业观察的角度分析漏洞事件频发原因，主要体现在三个方面：一是计算机系统复杂性日益增加。计算机系统所包含的大量组件与依赖关系，以及复杂的交互模式，使漏洞难以被发现，只通过对单个组件或服务进行代码审计很难确保系统的安全性。二是随着新技术不断涌现，攻击技术也在不断进步。攻防双方实力悬殊，防守方常常处于被动状态，难以防范各种攻击。三是供应链安全问题日趋严重，同时也缺乏统一的易于实施的解决方案，导致恶意注入漏洞代码的投毒行为与历史漏洞难以止血。

从产业发展的角度分析漏洞事件频发原因，主要体现在三个方面：一是广大研发、运维、测试人员安全意识不足、平均技术水平偏低，缺少专门的安全培训，同时开发、安全、运营（DevSecOps）理念尚未推广等原因，导致产品质量无法得到保障，甚至连基本的安全性和鲁棒性都成问题。二是信息安全产业缺少前沿与全局的规划，导致部分安全产品使用的技术普遍过时、不科学，实际水平偏低，从而更加依赖人工，制约了产业的发展水平。三是相关法律法规与标准尚未完善。我们需要用更健全的法律法规约束部分打擦边球的窃取用户隐私的企业，也需要制定更健全的标准提升行业安全水平。

提到供应链安全与 DevSecOps，就不得不提 log4jshell。当 log4jshell 刚被爆出时，因为 log4j2 组件使用范围太广，从甲方安全的角度出发，必须要做但难以实现的就是在短时间内排查所有网络空间资产是否直接或间接使用了log4j2。这不仅缺乏成熟的软件成分分析（SCA）工具辅助与也没有 DevSecOps 的流程卡点，更要命的是提供服务的外部厂商的安全应急响应时间也很难得到保证，所以，修复工作困难重重。

关于漏洞处置方法，我提出两点建议：一是设立安全应急响应中心（SRC）和安全应急响应团队（PSIRT），与白帽子建立良好的关系；二是拥抱 DevSecOps，在软件开发环节尽早解决安全风险。

CNNVD 的漏洞奖励计划对打击黑客活动和鼓励安全研究具有积极作用。不过，我建议奖励标准可以进一步细化，可参考谷歌的补丁奖励计划（Patch Rewards），对提供直接可用的补丁的白帽子进行额外奖励。这将会是白帽子与厂商的双赢局面。

（本文刊登于《中国信息安全》杂志2023年第5期）

《中国安全信息》杂志倾力推荐

“企业成长计划”

点击下图了解详情