华梦君简介
“昨天,华蒙君发表了自己对工信部《网络安全漏洞管理规定(征求意见稿)》的简评后,引来了很多业内人士的意见和见解。华蒙君也在网上看到了其他网络安全专家的看法,今天就一起来看看,谈一谈。”
TK Master:关于漏洞的一些思考
TK是腾讯安全玄武实验室负责人,国际知名白帽黑客,对网络安全有自己独到的见解。以下是他对征求意见稿的一些看法和见解。
对安全问题常见的一个误解是,漏洞就像导弹一样,可以包上油纸放在山洞里。但导弹不会消失,而漏洞则是转瞬即逝的。漏洞是动态的,不断产生,也不断消失,所以其实更像电。电一旦产生,很难长期保存。所以,电力建设的核心不是囤积多少电池,而是建多少发电站。对于漏洞来说,“发电站”就是安全研究员。
在漏洞研究领域,人与人之间的差距到底有多大?大到一万个皮匠都敌不过一个诸葛亮。在任何行业,这种情况都是管理者最不喜欢的,但这是客观事实。目前以及可预见的未来,没有任何软件或硬件能够取代优秀的漏洞研究人员。
目前业界最受认可的漏洞研究团队是谷歌的 Project Zero。Project Zero 汇聚了全球各个漏洞研究领域的顶尖人才,每年都产出数量和质量都令人惊叹不已的成果。那么这些人为什么愿意去 Project Zero 呢?
Project Zero的待遇当然很好,但很多公司都能给到这样的待遇,最主要的还是Google给Project Zero的氛围最宽松,尤其是在制度上允许和鼓励充分披露研究成果。
对于科研人员来说,除了薪资福利,最重要的是自己的成果能够被业界知晓,能够自由交流。这决定了他们能够从内心产生强大的自驱力,日夜思考研究问题,全身心投入其中。他们不像大多数人那样,不认为自己的劳动得到了报酬,不觉得公司在占自己的便宜,多工作几分钟就吃亏了。
2006年前后,国内网络安全研究人员的薪资水平比较低。那几年,McAfee、Fortinet等外企从中国挖走了大量优秀人才,导致硅谷一些安全公司的研究团队中一半以上都是中国人。2012年以后,中国这个行业的薪资状况逐渐好转,出国的人越来越少,一些已经出国的人也回国了。
目前国内安全研究实力还远远落后于美国,但正处于蓬勃发展的状态。相对自由的环境让一大批优秀的年轻人投身于这个行业,大显身手,取得属于自己的成就。如果现在改变这种环境,大家在发表研究成果时都谨小慎微,短期内或许能收获一些表面的安宁。但从长远来看,对安全人才的培养肯定会产生非常负面的影响。
都说漏洞是电,其实漏洞不是电,中国人不发电,其他国家就发电不了,但任何一个漏洞,你没有足够多的人才去研究,就不能阻止别人去研究。