據外媒報導,Google和多家網路安全公司聯合建立了一個旨在為白帽駭客提供支援的基金。該基金將為網路安全研究及滲透測試人員提供法律援助,以幫助他們避免因好心替企業挖漏洞而受到不公正的追究。
“白帽駭客”:善意的漏洞排查,以駭客技術,行維護安全之事。
“黑帽駭客”:非法入侵系統,進行竊取資料、破壞等犯罪行為為自身牟利。
不知道大家還記不記得2016年的那起案子,某白帽駭客因提交某婚戀平臺的漏洞而被拘捕。這件事在當時引起了軒然大波,一度被稱為是網路安全界的“彭宇案”。
現在,滲透測試人員或許終於可以安心挖漏洞而不必擔心被指控入侵了。
CISA的網路安全執行助理主任Eric Goldstein表示:“對於任何漏洞,只會有兩種情況:被黑帽駭客發現或者被白帽駭客發現。而今多數情況下,漏洞往往會落入黑帽駭客的手中。現在我們面臨的局面是,黑帽駭客擁有完全的自由,而白帽駭客則面臨著太多的障礙、恐懼及制約因素。我們必須改變這種情況。”
據瞭解,安全研究法律辯護基金(Security Research Legal Defense Fund)由Google提供初始資金,是一個非營利組織,旨在為那些因善意安全研究及漏洞披露而面臨法律問題的人提供法律援助,以促進網路安全,維護公眾利益。
在這之外,Google還與多家網路安全公司共同成立了一個駭客政策委員會(Hacking Policy Council),旨在推動更合理的漏洞披露規則和政策。該委員會的成員有HackerOne、Bugcrowd、Intel、Intigriti和Luta Security等多家網路安全相關的知名公司。
BugCrowd的執行長表示,更加完善的漏洞報告方法將有助於保護消費者、企業和社會,提高趕在遭到不法分子利用之前修復漏洞的可能性。
編輯:左右裡
資訊來源:Security Research Legal Defense Fund
轉載請註明出處和本文連結