应尽快制定行业标准

“法律永远滞后于技术发展?！弊魑泄缈占浒踩崂硎碌男挥澜硎?，召集专业人士通过行业协会制定“白帽子”挖掘漏洞、提交漏洞的行业标准更为快捷。行业准则可以制定“白帽子”的注册标准，规范使用工具，对挖掘行为的边界形成行业共识，统一挖掘漏洞的授权规则?；频览鲆踩衔?，法律规范需要进一步完善并合理化，具体的技术规范则可以交给市场优化解决。

对比乌云网的对公众强制披露制度、只对厂商内部披露的补天模式以及国家信息安全漏洞共享平台模式，谢永江认为，漏洞平台对公众强制披露漏洞，存在着现实和法律风险：首先，公众对漏洞细节不一定了解，遑论采取相对应的防范措施；其次，披露漏洞细节可能引来“黑帽子”的攻击，加重漏洞的危害。不过，如果厂商在接到漏洞报告后不修复漏洞，导致用户信息因该漏洞泄露，“白帽子”的漏洞报告就可以成为厂商不履行网络安全管理义务、在用户信息泄露事件上存在过失的证据，用户因此产生的损失就可以索赔。

西安交通大学法学院与360公司曾就“白帽子”挖掘漏洞的奖励模式进行了专题研究，并发布了《白帽子安全漏洞挖掘风险报告》。当前多种漏洞披露平台具有一定的尝试和探索意义?！按幽壳肮谕饴┒雌教ǖ姆⒄菇锥慰矗坪跻膊淮嬖谝恢值ヒ坏哪Ｊ??！辈斡胱锤帽ǜ娴幕频览龈嫠呒钦摺?/p>

报告显示，“脸书”仅在2015年就给210名“白帽子”发放了93.6万美元的漏洞奖励。漏洞赏金计划、漏洞购买计划(VPPs)以及漏洞奖励计划吸引更多“白帽子”加入安全防护研究，已经成为网络安全领域司空见惯的事情。

在国外漏洞众测平台“第一黑客”(HackerOne)上，由众测企业向黑客支付发现漏洞的奖励，“第一黑客”则从企业奖励中抽取20%的费用?！暗谝缓诳汀被瓜蚱笠堤峁└斗逊衲Ｊ?，如漏洞订阅服务、漏洞披露指导、安全咨询等。目前，“第一黑客”已帮助500多家企业找出2万多个漏洞，向3200多名独立安全研究员发放了600多万美元的奖励，单个漏洞奖励最多达到3万美元。从国际实践来看，相比目前我国企业较低的漏洞奖励金额，黑市交易的高额回报显然更具诱惑力，这也是黑市产业链形成和发展的关键因素?；频览霰硎荆啊酌弊印且蝗撼缟凶杂傻娜禾澹窘枳陨矶约际醯淖非蠡蚨酝绨踩奈ぶ牡韧诰蚵┒?，期望从中实现不同的价值，所以‘白帽子’不会因为商业化而消失。因此，建立长效高额的安全漏洞奖励机制是支持和鼓励‘白帽子’的最佳方式?！?/p>