应尽快制定行业标准

“法律永远滞后于技术发展。”作为中国网络空间安全协会理事的谢永江表示，召集专业人士通过行业协会制定“白帽子”挖掘漏洞、提交漏洞的行业标准更为快捷。行业准则可以制定“白帽子”的注册标准，规范使用工具，对挖掘行为的边界形成行业共识，统一挖掘漏洞的授权规则。黄道丽也认为，法律规范需要进一步完善并合理化，具体的技术规范则可以交给市场优化解决。

对比乌云网的对公众强制披露制度、只对厂商内部披露的补天模式以及国家信息安全漏洞共享平台模式，谢永江认为，漏洞平台对公众强制披露漏洞，存在着现实和法律风险：首先，公众对漏洞细节不一定了解，遑论采取相对应的防范措施；其次，披露漏洞细节可能引来“黑帽子”的攻击，加重漏洞的危害。不过，如果厂商在接到漏洞报告后不修复漏洞，导致用户信息因该漏洞泄露，“白帽子”的漏洞报告就可以成为厂商不履行网络安全管理义务、在用户信息泄露事件上存在过失的证据，用户因此产生的损失就可以索赔。

西安交通大学法学院与360公司曾就“白帽子”挖掘漏洞的奖励模式进行了专题研究，并发布了《白帽子安全漏洞挖掘风险报告》。当前多种漏洞披露平台具有一定的尝试和探索意义。“从目前国内外漏洞平台的发展阶段看，似乎也不存在一种单一的模式。”参与撰写该报告的黄道丽告诉记者。

报告显示，“脸书”仅在2015年就给210名“白帽子”发放了93.6万美元的漏洞奖励。漏洞赏金计划、漏洞购买计划(VPPs)以及漏洞奖励计划吸引更多“白帽子”加入安全防护研究，已经成为网络安全领域司空见惯的事情。

在国外漏洞众测平台“第一黑客”(HackerOne)上，由众测企业向黑客支付发现漏洞的奖励，“第一黑客”则从企业奖励中抽取20%的费用。“第一黑客”还向企业提供付费服务模式，如漏洞订阅服务、漏洞披露指导、安全咨询等。目前，“第一黑客”已帮助500多家企业找出2万多个漏洞，向3200多名独立安全研究员发放了600多万美元的奖励，单个漏洞奖励最多达到3万美元。从国际实践来看，相比目前我国企业较低的漏洞奖励金额，黑市交易的高额回报显然更具诱惑力，这也是黑市产业链形成和发展的关键因素。黄道丽表示，“‘白帽子’是一群崇尚自由的群体，凭借自身对技术的追求或对网络安全的维护之心等挖掘漏洞，期望从中实现不同的价值，所以‘白帽子’不会因为商业化而消失。因此，建立长效高额的安全漏洞奖励机制是支持和鼓励‘白帽子’的最佳方式。”