2015年发生的两件大事，让全世界技术人员的目光都聚焦于漏洞挖掘领域——其一是Hacking Team被攻破，大量0day漏洞流出;其二是Zerodium公司出资百万美金悬赏一个iOS漏洞，尔后又发出详细的漏洞收购价目表。
            

　　2015年发生的两件大事，让全世界技术人员的目光都聚焦于漏洞挖掘领域——其一是Hacking Team被攻破，大量0day漏洞流出;其二是Zerodium公司出资百万美金悬赏一个iOS漏洞，尔后又发出详细的漏洞收购价目表。

　　

       

 

　　图1：Zerodium出资百万美金悬赏iOS漏洞

　　曾有安全人员比喻：每个漏洞都是一发子弹或者导弹;而Zerodium与Hacking Team等漏洞中间商，就是互联网世界中彻头彻尾的军火贩子。一些高危漏洞如果被其贩卖给攻击者，势必会导致相关系统被攻破，美人事管理局(2200万人员数据泄露、局长引咎辞职)、婚外情网站Ashley Madison(3700万用户数据失窃、致大量名流身败名裂)等机构或网站的惨剧或将再次重演。

　　漏洞的出现几乎不可避免，所以厂商们能做的，就是尽量在黑客之前发现并修补上漏洞。在这场与时间的赛跑中，谁掌握的技术人员越多，谁就越有可能提前到达终点。于是国外的巨头们纷纷推出了“漏洞奖励计划”，通过礼品、赏金等奖励，换取广大“白帽子”黑客手中的漏洞。

　　早在2010年，Google、Facebook(甚至直接向黑客发放了visa借记卡)、PayPal、Mozilla等公司就已推出了漏洞奖励计划;即便坚持多年“不为漏洞付款”习惯的微软，也在Google、ZDI、Vupen等诸多三方漏洞挖掘者的夹击下妥协，推出“蓝帽子”奖高额($25W)悬赏漏洞;BlackHat、DEFCON等世界级的黑客大会，更是为厂商们提供了大量有价值的漏洞。

　　近年来，随着网络安全上升到国家层面高度，以及各类安全事件的频发，国内很多厂商对漏洞的态度，也从“避之唯恐不及”，变成了“欢迎一起来找茬”。360、腾讯、网易、人人、京东相继推出漏洞奖励计划——其中腾讯、网易、人人、京东等施行以“积分换礼物”的奖励方式;而360，则成为国内第一个以现金作为漏洞奖励的互联网公司。

　　

       

 

　　

       

 

　　除了民间的白帽子受到善待，在2015年的漏洞挖掘“竞赛”中，国内安全厂商也体现出了自己的技术实力。在2015年各大国际巨头的漏洞致谢榜单上，中国军团战功累累，从最熟悉的老朋友微软，到逐渐熟络的新伙伴Adobe、苹果、Google……360、Keen等我国安全与黑客团队，共为全球厂商免费提供了价值上千万美金的漏洞，其技术实力不可小觑。