网站漏洞检测系统在线（国内首家开源漏洞平台360BugCloud亮相）

网站漏洞检测系统在线（国内首家开源漏洞平台360BugCloud亮相）创新推出“自主议价”全新模式360BugCloud开源漏洞响应平台一上线便携一千万资金而来，并设定了“四位数起且上不封顶”的致谢金额，以此来表达对每位安全研究员研究价值的认可。平台一上线便携一千万资金而来0day漏洞和1day漏洞存在巨大的威力。以视频会议软件Zoom的一个零日漏洞为例，攻击者能不经用户允许便启动用户的摄像头，监视用户的任何行为；另一个经典的MS08-067漏洞，由于没有及时修复，黑客利用该漏洞传播了Conficker蠕虫病毒传播，感染了超一千五百万台计算机。此外，伴随时代与技术的发展，一个零日漏洞也很少在单枪匹马作战，它们更多采用起联合作战模式，几个甚至几十个0day漏洞被联合利用发动进攻。

红星新闻记者获悉，11月16日，“天府杯”2019国际网络安全大赛暨2019天府国际网络安全高峰论坛在成都西部博览城启幕。此次大会还举办网络安全成果展示转化展和针对互联网专业人才招聘会。网络安全公司360应邀出席此次盛会，它携近期火爆安全界的国内首家开源漏洞响应平台——360BugCloud亮相成果展示转化展。

开源代码被攻击者利用后果严重

众所周知，全球几十亿的设备都基于某种开源软件而开发，一旦某个通用型开源漏洞被利用来攻破网络，顷刻间它能影响世界上数亿万设备。例如2014年，“心脏滴血”漏洞被发现，这是一个出现在加密程序库OpenSSL的安全漏洞，而OpenSSL则是开源的SSL套件，为全球成千上万的web服务器所使用。据报道，该漏洞致使全球1/3网站核心数据被随意掠夺。

除此之外，开源代码使用范围极为广泛，漏洞以及高危漏洞不可避免。国外某公司对1100个商业代码库进行了审计，他们发现，截至至2018年，已经有超过40000个开源漏洞被报道，每个代码库平均包含64个漏洞。由于开源代码在商业应用和内部应用中已无处不在、极具通用性，一旦被攻击者利用，那将是一场无法预估损失的浩劫。

平台一上线便携一千万资金而来

0day漏洞和1day漏洞存在巨大的威力。以视频会议软件Zoom的一个零日漏洞为例，攻击者能不经用户允许便启动用户的摄像头，监视用户的任何行为；另一个经典的MS08-067漏洞，由于没有及时修复，黑客利用该漏洞传播了Conficker蠕虫病毒传播，感染了超一千五百万台计算机。

此外，伴随时代与技术的发展，一个零日漏洞也很少在单枪匹马作战，它们更多采用起联合作战模式，几个甚至几十个0day漏洞被联合利用发动进攻。

360BugCloud开源漏洞响应平台一上线便携一千万资金而来，并设定了“四位数起且上不封顶”的致谢金额，以此来表达对每位安全研究员研究价值的认可。

创新推出“自主议价”全新模式

在以往的漏洞“提交模式”中，研究员不能完全掌握提交漏洞的主动权，致使漏洞的价值不能被充分肯定，研究员的心血也不能被充分尊重，这带来的严重后果是：高危漏洞严重流失，甚至被一些不法份子掌握。

为此，360BugCloud创新推出“自主议价全新模式”。前期研究员仅需提交漏洞影响力的描述，无需提供细节；平台根据描述与研究员进行议价，若未达到研究员的心理预期价格，其有权结束交易，亦可请求平台接入第三方业内知名安全专家参与评估。议价成功后，研究员提交漏洞细节，平台会对漏洞进行验证，核实漏洞有效后打款致谢。

与此同时，360BugCloud也非常重注对漏洞的保密，在整个议价期间内，不会泄露漏洞的细节描述。

据数据显示，平台仅上线第一周就收到来自全球超300个开源高危漏洞。仅初步统计，这批漏洞的提交成功守护了上千万终端，涉及政府、企、事业等上百余家单位，覆盖能源、金融、交通、医疗、电信、教育众多关键行业领域。

红星新闻记者 陈应鹏 袁野

编辑 彭疆