什麼是網路產品安全漏洞管理

⑴ 阿里雲未及時通報重大網路安全漏洞，會帶來什麼後果

【文/觀察者網 呂棟】

這事緣起於一個月前。當時，阿里雲團隊的一名成員發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞後，隨即向位於美國的阿帕奇軟體基金會通報，但並沒有按照規定向中國工信部通報。事發半個月後，中國工信部收到網路安全專業機構的報告，才發現阿帕奇組件存在嚴重安全漏洞。

阿帕奇組件存在的到底是什麼漏洞？阿里雲沒有及時通報會造成什麼後果？國內企業在發現安全漏洞後應該走什麼程序通報？觀察者網帶著這些問題采訪了一些業內人士。

漏洞銀行聯合創始人、CTO張雪松向觀察者網指出，Log4j2組件應用極其廣泛，漏洞危害可以迅速傳播到各個領域。由於阿里雲未及時向中國主管部門報告相關漏洞，直接造成國內相關機構處於被動地位。

關於Log4j2組件在計算機網路領域的關鍵作用，有國外網友用漫畫形式做了形象說明。按這個圖片解讀，如果沒有Log4j2組件的支撐，所有現代數字基礎設施都存在倒塌的危險。

國外社交媒體用戶以漫畫的形式，說明Log4j2的重要性

觀察者網梳理此次阿帕奇嚴重安全漏洞的時間線如下：

根據公開資料，此次被阿里雲安全團隊發現漏洞的Apache Log4j2是一款開源的Java日誌記錄工具，控制Java類系統日誌信息生成、列印輸出、格式配置等，大量的業務框架都使用了該組件，因此被廣泛應用於各種應用程序和網路服務。

有資深業內人士告訴觀察者網，Log4j2組件出現安全漏洞主要有兩方面影響：一是Log4j2本身在java類系統中應用極其廣泛，全球Java框架幾乎都有使用。二是漏洞細節被公開，由於利用條件極低幾乎沒有技術門檻。因適用范圍廣和漏洞利用難度低，所以影響立即擴散並迅速傳播到各個行業領域。

簡單來說，這一漏洞可以讓網路攻擊者無需密碼就能訪問網路伺服器。

這並非危言聳聽。美聯社等外媒在獲取消息後評論稱，這一漏洞可能是近年來發現的最嚴重的計算機漏洞。Log4j2在全行業和政府使用的雲伺服器和企業軟體中「無處不在」，甚至犯罪分子、間諜乃至編程新手，都可以輕易使用這一漏洞進入內部網路，竊取信息、植入惡意軟體和刪除關鍵信息等。

阿里雲官網截圖

然而，阿里雲在發現這個「過去十年內最大也是最關鍵的單一漏洞」後，並沒有按照《網路產品安全漏洞管理規定》第七條要求，在2天內向工信部網路安全威脅和漏洞信息共享平台報送信息，而只是向阿帕奇軟體基金會通報了相關信息。

觀察者網查詢公開資料發現，阿帕奇軟體基金會（Apache）於1999年成立於美國，是專門為支持開源軟體項目而辦的一個非營利性組織。在它所支持的Apache項目與子項目中，所發行的軟體產品都遵循Apache許可證（Apache License）。

12月10日，在阿里雲向阿帕奇軟體基金會通報漏洞過去半個多月後，中國國家信息安全漏洞共享平台才獲得相關信息，並發布《關於Apache Log4j2存在遠程代碼執行漏洞的安全公告》，稱阿帕奇官方已發布補丁修復該漏洞，並建議受影響用戶立即更新至最新版本，同時採取防範性措施避免漏洞攻擊威脅。

中國國家信息安全漏洞共享平台官網截圖

事實上，國內網路漏洞報送存在清晰流程。業內人士向觀察者網介紹，業界通用的漏洞報送流程是，成員單位>工業和信息化部網路安全管理局 >國家信息安全漏洞共享平台（CNVD） CVE 中國信息安全測評中心 > 國家信息安全漏洞庫（CNNVD）> 國際非盈利組織CVE；非成員單位或個人注冊提交CNVD或CNNVD。

根據公開資料，CVE（通用漏洞共享披露）是國際非盈利組織，全球通用漏洞共享披露協調企業修復解決安全問題，由於最早由美國發起該漏洞技術委員會，所以組織管理機構主要在美國。而CNVD是中國的信息安全漏洞信息共享平台，由國內重要信息系統單位、基礎電信運營商、網路安全廠商、軟體廠商和互聯網企業建立的信息安全漏洞信息共享知識庫。

上述業內人士認為，阿里這次因為漏洞影響較大，所以被當做典型通報。在CNVD建立之前以及最近幾年，國內安全人員對CVE的共識、認可度和普及程度更高，發現漏洞安全研究人員慣性會提交CVE，雖然最近兩年國家建立了CNVD，但普及程度不夠，估計阿里安全研究員提交漏洞的時候，認為是個人技術成果的事情，上報國際組織協調修復即可。

但根據最新發布的《網路產品安全漏洞管理規定》，國內安全研究人員發現漏洞之後報送CNVD即可，CNVD會發起向CVE報送流程，協調廠商和企業修復安全漏洞，不允許直接向國外漏洞平台提交。

由於阿里雲這次的行為未有效支撐工信部開展網路安全威脅和漏洞管理，根據工信部最新通報，工信部網路安全管理局研究後，決定暫停阿里雲作為上述合作單位6個月。暫停期滿後，根據阿里雲整改情況，研究恢復其上述合作單位。

業內人士向觀察者網指出，工信部這次針對是阿里，其實也是向國內網路安全行業從業人員發出警示。從結果來看對阿里的處罰算輕的，一是沒有踢出成員單位，只是暫停6個月。二是工信部沒有對這次事件的安全研究人員進行個人行政處罰或警告，只是對直接向國外CVE報送的Log4j漏洞的那個安全專家點名批評。

本文系觀察者網獨家稿件，未經授權，不得轉載。

⑵ 網信辦查出網站漏洞能關停網嗎

客戶網站因存在漏洞，被上報到了國家網路與信息安全信息通報中心，分發給當地網警，並給下發了信息系統安全等級保護限期整改通知書，並電話以及郵件告知了客戶，要求3天內對漏洞進行修復以及網路安全防護，對網站進行全面的安全加固，防止漏洞再次的發生。客戶第一次碰到這種情況，也不知道該如何解決，找了當時設計網站的服務商，他們竟然回復解決不了。 客戶才找到我們SINESAFE安全，說實在的，很多客戶遇到這種情況，第一時間想到的是網站建設服務商，並不會想到找網站安全服務商來解決問題。在這里再跟大家解釋一下，代碼設計是功能方面以及外觀方面的設計，像開發一個會員注冊功能，都是代碼設計的范圍，可當會員注冊存在漏洞，這就是屬於網站漏洞修復的范疇，應該找網站漏洞修復服務商來處理。

⑶ 什麼是計算機網路安全漏洞

一個較為通俗的網路漏洞的描述性定義是：存在於計算機網路系統中的、可能對系統中的組成和數據造成損害的一切因素。

網路漏洞是在硬體、軟體、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。具體舉例來說，比如在IntelPentium晶元中存在的邏輯錯誤，在Sendmail早期版本中的編程錯誤，在NFS協議中認證方式上的弱點，在Unix系統管理員設置匿名Ftp服務時配置不當的問題都可能被攻擊者使用，威脅到系統的安全。因而這些都可以認為是系統中存在的安全漏洞。

⑷ 網路安全管理包括什麼內容

網路安全管理是一個體系的東西，內容很多
網路安全管理大體上分為管理策略和具體的管理內容，管理內容又包括邊界安全管理，內網安全管理等，這里給你一個參考的內容，金牌網管員之網路信息安全管理，你可以了解下：
http://www.ean-info.com/2009/0908/100.html
同時具體的內容涉及：
一、信息安全重點基礎知識
1、企業內部信息保護
信息安全管理的基本概念：
信息安全三元組，標識、認證、責任、授權和隱私的概念，人員角色
安全控制的主要目標：
安全威脅和系統脆弱性的概念、信息系統的風險管理
2、企業內部信息泄露的途徑
偶然損失
不適當的活動
非法的計算機操作
黑客攻擊：
黑客簡史、黑客攻擊分類、黑客攻擊的一般過程、常見黑客攻擊手段
3、避免內部信息泄露的方法
結構性安全（PDR模型）
風險評估：
資產評估、風險分析、選擇安全措施、審計系統
安全意識的培養
二、使用現有安全設備構建安全網路
1、內網安全管理
內網安全管理面臨的問題
內網安全管理實現的主要功能：
軟硬體資產管理、行為管理、網路訪問管理、安全漏洞管理、補丁管理、對各類違規行為的審計
2、常見安全技術與設備
防病毒：
防病毒系統的主要技術、防病毒系統的部署、防病毒技術的發展趨勢
防火牆：
防火牆技術介紹、防火牆的典型應用、防火牆的技術指標、防火牆發展趨勢
VPN技術和密碼學：
密碼學簡介、常見加密技術簡介、VPN的概念、VPN的分類、常見VPN技術、構建VPN系統
IPS和IDS技術：
入侵檢測技術概述、入侵檢測系統分類及特點、IDS結構和關鍵技術、IDS應用指南、IDS發展趨勢、入侵防禦系統的概念、IPS的應用
漏洞掃描：
漏洞掃描概述、漏洞掃描的應用
訪問控制：
訪問控制模型、標識和認證、口令、生物學測定、認證協議、訪問控制方法
存儲和備份：
數據存儲和備份技術、數據備份計劃、災難恢復計劃
3、安全設備的功能和適用范圍
各類安全設備的不足
構建全面的防禦體系
三、安全管理體系的建立與維護
1、安全策略的實現
安全策略包含的內容
制定安全策略
人員管理
2、物理安全
物理安全的重要性
對物理安全的威脅
對物理安全的控制
3、安全信息系統的維護
安全管理維護
監控內外網環境

⑸ 阿里又出事了！發現網路安全漏洞，不上報工信部，卻通知外國機構

突發！工信部宣布暫停與阿里雲信息共享平台合作。這是怎麼回事？阿里雲犯了什麼事？要了解這些疑問，首先我們要知道阿帕奇 Log4j2組件。

據悉，阿帕奇 Log4j2組件是基於Java語言的開源日誌框架，被廣泛用於業務系統開發。而在11月24日，阿里雲發現阿帕奇（Apache） Log4j2存在安全漏洞。但阿里雲沒第一時間向工信部報告，反而率先向阿帕奇軟體基金會披露該漏洞。

而阿帕奇軟體基金會是專門為支持開源軟體項目而成立的一個非盈利性組織，於1999年6月在美國特拉華州注冊成立。

在阿里向他們披露漏洞後，奧地利和紐西蘭官方的計算機應急小組率先對這一漏洞進行預警，而中國工信部是在收到網路安全專業機構報告後，才發現阿帕奇Log4j2組件存在嚴重安全漏洞。

根據工信部、國家網信辦、公安部聯合印發的《網路產品安全漏洞管理規定》，網路產品提供者應當在2日內向工信部報送相關漏洞信息，而工信部12月9日發現上述漏洞，距阿里雲首次發現已經過去15天。

值得注意的是：這次的漏洞被認為是「計算機 歷史 上最大的漏洞」。多名雲計算業內人士指出，這是一個非常基礎的日誌庫漏洞。由於組件使用量很大，幾乎所有的java程序都會涉及，所以影響面很大。

工信部指出，這一漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬於高危漏洞。有關單位和公眾密切關注阿帕奇Log4j2組件漏洞補丁發布，排查自有相關系統阿帕奇Log4j2組件使用情況，及時升級組件版本，以降低網路安全風險。

看完上述，相信大家都知道阿里雲犯了什麼事了吧！根據工信部要求，網路產品提供者發現漏洞，應當在2日內向工信部報送相關漏洞信息。

有此要求是因為通常情況下，發現的早，知道的快，能及時防備、解決漏洞，避免造成損失。反之，知道得越晚，損失越大。

此次的阿帕奇 Log4j2漏洞，幾乎影響全球，原本我國本應該能在11月24日就應對的，最後卻滯後了15天，15天有多少設備受到了「入侵」呢？

所以，也難怪工信部宣布暫停與阿里雲信息共享平台合作。工信部稱，阿里雲公司發現阿帕奇 Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告，未有效支撐工信部開展網路安全威脅和漏洞管理。經研究，現暫停阿里雲公司作為上述合作單位6個月。暫停期滿後，根據阿里雲公司整改情況，研究恢復其上述合作單位。

⑹ 哪些國家制定了漏洞法律法規

各省、自治區、直轄市及新疆生產建設兵團工業和信息化主管部門、網信辦、公安廳(局),各省、自治區、直轄市通信管理局:
現將《網路產品安全漏洞管理規定》予以發布,自2021年9月1日起施行。
工業和信息化部 國家互聯網信息辦公室 公安部
2021年7月12日
網路產品安全漏洞管理規定
第一條 為了規范網路產品安全漏洞發現、報告、修補和發布等行為,防範網路安全風險,根據《中華人民共和國網路安全法》,制定本規定。
第二條 中華人民共和國境內的網路產品(含硬體、軟體)提供者和網路運營者,以及從事網路產品安全漏洞發現、收集、發布等活動的組織或者個人,應當遵守本規定。
第三條 國家互聯網信息辦公室負責統籌協調網路產品安全漏洞管理工作。工業和信息化部負責網路產品安全漏洞綜合管理,承擔電信和互聯網行業網路產品安全漏洞監督管理。公安部負責網路產品安全漏洞監督管理,依法打擊利用網路產品安全漏洞實施的違法犯罪活動。
有關主管部門加強跨部門協同配合,實現網路產品安全漏洞信息實時共享,對重大網路產品安全漏洞風險開展聯合評估和處置。
第四條 任何組織或者個人不得利用網路產品安全漏洞從事危害網路安全的活動,不得非法收集、出售、發布網路產品安全漏洞信息;明知他人利用網路產品安全漏洞從事危害網路安全的活動的,不得為其提供技術支持、廣告推廣、支付結算等幫助。
第五條 網路產品提供者、網路運營者和網路產品安全漏洞收集平台應當建立健全網路產品安全漏洞信息接收渠道並保持暢通,留存網路產品安全漏洞信息接收日誌不少於6個月。
第六條 鼓勵相關組織和個人向網路產品提供者通報其產品存在的安全漏洞。
第七條 網路產品提供者應當履行下列網路產品安全漏洞管理義務,確保其產品安全漏洞得到及時修補和合理發布,並指導支持產品用戶採取防範措施:
(一)發現或者獲知所提供網路產品存在安全漏洞後,應當立即採取措施並組織對安全漏洞進行驗證,評估安全漏洞的危害程度和影響范圍;對屬於其上游產品或者組件存在的安全漏洞,應當立即通知相關產品提供者。
(二)應當在2日內向工業和信息化部網路安全威脅和漏洞信息共享平台報送相關漏洞信息。報送內容應當包括存在網路產品安全漏洞的產品名稱、型號、版本以及漏洞的技術特點、危害和影響范圍等。
(三)應當及時組織對網路產品安全漏洞進行修補,對於需要產品用戶(含下游廠商)採取軟體、固件升級等措施的,應當及時將網路產品安全漏洞風險及修補方式告知可能受影響的產品用戶,並提供必要的技術支持。
工業和信息化部網路安全威脅和漏洞信息共享平台同步向國家網路與信息安全信息通報中心、國家計算機網路應急技術處理協調中心通報相關漏洞信息。
鼓勵網路產品提供者建立所提供網路產品安全漏洞獎勵機制,對發現並通報所提供網路產品安全漏洞的組織或者個人給予獎勵。
第八條 網路運營者發現或者獲知其網路、信息系統及其設備存在安全漏洞後,應當立即採取措施,及時對安全漏洞進行驗證並完成修補。
第九條 從事網路產品安全漏洞發現、收集的組織或者個人通過網路平台、媒體、會議、競賽等方式向社會發布網路產品安全漏洞信息的,應當遵循必要、真實、客觀以及有利於防範網路安全風險的原則,並遵守以下規定:
(一)不得在網路產品提供者提供網路產品安全漏洞修補措施之前發布漏洞信息;認為有必要提前發布的,應當與相關網路產品提供者共同評估協商,並向工業和信息化部、公安部報告,由工業和信息化部、公安部組織評估後進行發布。
(二)不得發布網路運營者在用的網路、信息系統及其設備存在安全漏洞的細節情況。
(三)不得刻意誇大網路產品安全漏洞的危害和風險,不得利用網路產品安全漏洞信息實施惡意炒作或者進行詐騙、敲詐勒索等違法犯罪活動。
(四)不得發布或者提供專門用於利用網路產品安全漏洞從事危害網路安全活動的程序和工具。
(五)在發布網路產品安全漏洞時,應當同步發布修補或者防範措施。
(六)在國家舉辦重大活動期間,未經公安部同意,不得擅自發布網路產品安全漏洞信息。
(七)不得將未公開的網路產品安全漏洞信息向網路產品提供者之外的境外組織或者個人提供。
(八)法律法規的其他相關規定。
第十條 任何組織或者個人設立的網路產品安全漏洞收集平台,應當向工業和信息化部備案。工業和信息化部及時向公安部、國家互聯網信息辦公室通報相關漏洞收集平台,並對通過備案的漏洞收集平台予以公布。
鼓勵發現網路產品安全漏洞的組織或者個人向工業和信息化部網路安全威脅和漏洞信息共享平台、國家網路與信息安全信息通報中心漏洞平台、國家計算機網路應急技術處理協調中心漏洞平台、中國信息安全測評中心漏洞庫報送網路產品安全漏洞信息。
第十一條 從事網路產品安全漏洞發現、收集的組織應當加強內部管理,採取措施防範網路產品安全漏洞信息泄露和違規發布。
第十二條 網路產品提供者未按本規定採取網路產品安全漏洞補救或者報告措施的,由工業和信息化部、公安部依據各自職責依法處理;構成《中華人民共和國網路安全法》第六十條規定情形的,依照該規定予以處罰。
第十三條 網路運營者未按本規定採取網路產品安全漏洞修補或者防範措施的,由有關主管部門依法處理;構成《中華人民共和國網路安全法》第五十九條規定情形的,依照該規定予以處罰。
第十四條 違反本規定收集、發布網路產品安全漏洞信息的,由工業和信息化部、公安部依據各自職責依法處理;構成《中華人民共和國網路安全法》第六十二條規定情形的,依照該規定予以處罰。
第十五條 利用網路產品安全漏洞從事危害網路安全活動,或者為他人利用網路產品安全漏洞從事危害網路安全的活動提供技術支持的,由公安機關依法處理;構成《中華人民共和國網路安全法》第六十三條規定情形的,依照該規定予以處罰;構成犯罪的,依法追究刑事責任。
第十六條 本規定自2021年9月1日起施行。

⑺ 工信部暫停阿里雲信息共享平台合作，這背後的原因是什麼

工信部這次暫停阿里雲信息共享平台合作是因為阿里雲在Web伺服器阿帕奇下的開源日誌組件log4j中發現了重大漏洞時並沒有第一時間上報給工信部，而是上報了阿帕奇開源基金會。違反了工信部的規定將暫停阿里雲作為信息共享平台的合作單位六個月，期滿後根據阿里雲的整改情況，在決定是否需要恢復阿里雲合作單位的身份。log4j作為一款JAVA開發的開源日誌記錄工具，能夠有效的記錄程序在運行過程中產生的數據，對於分析系統存在的問題或者運行狀態具有很大的作用，正因為log4j功能強大，所以在全球的使用性極其廣泛。正因為其使用的范圍很廣，所以一旦出現問題，就會造成特別嚴重的後果。

你知道工信部暫停阿里雲信息共享平台合作，這背後的原因是什麼？ 歡迎留言討論。

⑻ 導致阿里雲被暫停合作的漏洞 究竟是什麼

新京報貝殼 財經 訊（記者 羅亦丹）因發現安全漏洞後的處理問題，近日阿里雲引發了一波輿論。

據媒體報道，11月24日，阿里雲安全團隊向美國開源社區Apache（阿帕奇）報告了其所開發的組件存在安全漏洞。12月22日，因發現Apache Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告，阿里雲被暫停作為工信部網路安全威脅信息共享平台合作單位6個月。

12月23日，阿里雲在官方微信公號表示，其一名研發工程師發現Log4j2 組件的一個安全bug，遂按業界慣例以郵件方式向軟體開發方Apache開源社區報告這一問題請求幫助，「隨後，該漏洞被外界證實為一個全球性的重大漏洞。阿里雲因在早期未意識到該漏洞的嚴重性，未及時共享漏洞信息。」

「之前發現這樣的漏洞都是直接通知軟體開發方，這確實屬於行業慣例，但是《網路產品安全漏洞管理規定》出台後，要求漏洞要同時通報給國家主管部門。由於上述法案頒布的時間不是很長，我覺得漏洞的發現者，最開始也未必能評估到漏洞影響的范圍這么大。所以嚴格來說，這個處理不算冤，但處罰其實也沒有那麼嚴格，一不罰錢，二不影響做業務。」」某安全公司技術總監鄭陸（化名）告訴貝殼 財經 記者。

漏洞影響有多大？

那麼，如何理解Log4j2漏洞的嚴重程度呢？

安全公司奇安信將Apache Log4j2漏洞的CERT風險等級定為「高危」，奇安信描述稱，Apache Log4j 是 Apache 的一個開源項目，通過定義每一條日誌信息的級別，能夠更加細致地控制日誌生成過程，「Log4j2中存在JNDI注入漏洞，當程序將用戶輸入的數據進行日誌記錄時，即可觸發此漏洞，成功利用此漏洞可以在目標伺服器上執行任意代碼。」

安域雲防護的監測數據顯示，截至12月10日中午12點，已發現近1萬次利用該漏洞的攻擊行為。據了解，該漏洞影響范圍大，利用方式簡單，攻擊者僅需向目標輸入一段代碼，不需要用戶執行任何多餘操作即可觸發該漏洞，使攻擊者可以遠程式控制制受害者伺服器，90%以上基於java開發的應用平台都會受到影響。

「Apache Log4j RCE 漏洞之所以能夠引起安全圈的極大關注，不僅在於其易於利用，更在於它巨大的潛在危害性。當前幾乎所有的技術巨頭都在使用該開源組件，它所帶來的危害就像多米諾骨牌一樣，影響深遠。」奇安信安全專家對貝殼 財經 記者表示。

「這個漏洞嚴重性在於兩點，一是log4j作為java日誌的基礎組件使用相當廣泛，Apache和90%以上的java應用受到影響。二是這個漏洞的利用入口非常多，幾乎達到了（只要）是這個漏洞影響的范圍，只要有輸入的地方就受到影響。用戶或者攻擊者直接可以輸入的地方比如登錄用戶名、查詢信息、設備名稱等等，以及一些其他來源的被攻擊者污染的數據來源比如網上一些頁面等等。」從事多年漏洞挖掘的安全行業老兵，網友「yuange1975」在微博發文稱。

「簡而言之，該漏洞算是這幾年來最大的漏洞了。」鄭陸表示。

在「yuange1975」看來，該漏洞出來後，因為影響太廣泛，IT圈都在加班加點修補漏洞。不過，一些圈子裡發文章為了說明這個漏洞的嚴重性，又有點用了過高評價這個漏洞的詞語，「我不否認這個漏洞很嚴重，肯定是排名很靠前的漏洞，但是要說是有史以來最大的網路漏洞，就是說目前所有已經發現公布的漏洞里排第一，這顯然有點誇大了。」

「log4j漏洞發現者恐怕發現漏洞時對這個漏洞認識不足，這個應用的范圍以及漏洞觸發路徑，我相信一直到阿里雲上報完漏洞，恐怕漏洞發現者都沒完全明白這個漏洞的真正嚴重性，有可能當成了Apache下一個普通插件的一個漏洞。」yuange1975表示。

9月1日起施行新規 專家：對於維護國家網路安全具有重大意義

據了解，業界的開源條例遵循的是《負責任的安全漏洞披露流程》，這份文件將漏洞披露分為5個階段，依次是發現、通告、確認、修復和發布。發現漏洞並上報給原廠商，是業內常見的程序漏洞披露的做法。

貝殼 財經 記者觀察到，白帽黑客建立漏洞發現與收集的平台並告知企業的做法一度在圈內流行。根據《 財經 天下》的報道，把漏洞報給原廠商而不是平台方，也會有潛在的好處。包括微軟、蘋果和谷歌在內的廠商對報告漏洞的人往往會有獎勵，「最高的能給到十幾萬美元」。更重要的是名譽獎勵。幾乎每一家廠商對第一個報告漏洞的人或者集體，都會公開致謝。「對於安全研究人員而言，這種名聲也會讓他們非常在意。

不過，今年9月1日後，這一行業「常見程序」就要發生變化。

7月13日，工信部、國家網信辦、公安部印發《網路產品安全漏洞管理規定》，要求任何組織或者個人設立的網路產品安全漏洞收集平台，應當在兩日內向工業和信息化部網路安全威脅和漏洞信息共享平台報送相關漏洞信息。該規定自2021年9月1日起施行。

值得注意的是，《規定》中也有漏洞發現者需要向產品相關提供者通報的條款。如《規定》第七條第一款顯示，發現或者獲知所提供網路產品存在安全漏洞後，應當立即採取措施並組織對安全漏洞進行驗證，評估安全漏洞的危害程度和影響范圍；對屬於其上游產品或者組件存在的安全漏洞，應當立即通知相關產品提供者。第七條第七款則表示，不得將未公開的網路產品安全漏洞信息向網路產品提供者之外的境外組織或者個人提供。

奇安信集團副總裁、補天漏洞響應平台主任張卓在接受新京報貝殼 財經 記者采訪時表示，《網路產品安全漏洞管理規定》釋放了一個重要信號：我國將首次以產品視角來管理漏洞，通過對網路產品漏洞的收集、研判、追蹤、溯源，立足於供應鏈全鏈條，對網路產品進行全周期的漏洞風險跟蹤，實現對我國各行各業網路安全的有效防護。在供應鏈安全威脅日益嚴重的全球形勢下，《規定》對於維護國家網路安全，保護網路產品和重要網路系統的安全穩定運行，具有重大意義。

張卓表示，《規定》第十條指出，任何組織或者個人設立的網路產品安全漏洞收集平台，應當向工業和信息化部備案。同時在第六條中指出，鼓勵相關組織和個人向網路產品提供者通報其產品存在的安全漏洞，還「鼓勵網路產品提供者建立所提供網路產品安全漏洞獎勵機制，對發現並通報所提供網路產品安全漏洞的組織或者個人給予獎勵。」這兩條規定規范了漏洞收集平台和白帽子的行為，有利於讓白帽子在合法合規的條件下發揮更大的 社會 價值。