骇客志工 VulReport帮抓漏

（图／取自网路)

台湾首度由资安社群台湾骇客年会（HITCON）领军，正式于 1 月 9 日成立漏洞回报公益平臺 VulReport。负责帮各个企业、政府机关网站「抓漏」，协同许多志工骇客轮流上网站进行防骇检验，并且主动回报到平台与受骇单位。

VulReport 发起人兼台湾骇客年会创办人徐千洋表示，此举可以正面促进资安发展，成为揭发漏洞骇客与受骇单位之间的共通桥樑，进一步提升台湾的资安意识。

企业与政府单位皆可免费加入会员，此外还有付费分级的会员制度。虽然依照免费 / 付费的服务等级不同。不过基本的资安抓漏、回报动作是完全免费。差别是在事后的远端资安顾问谘询服务时间，以及协助修復漏洞的方式。徐千洋也鼓励企业厂商都能申请註册。未来即可在资安事件发生之时，第一时间收到回报情况。

其实国外企业与骇客合作抓网站漏洞的模式已经行之有年。美国国土安全部旗下的 US-CERT，就定期会检验企业、软硬体设备的资安漏洞，若发现有疑虑就会向大众发布讯息。例如前阵子入侵 Sony 的 SMB 蠕虫攻击就在第一时间发佈公众警告。

另外、Google 也有漏洞回报计画 Google Vulnerability Reward Program（VRP）与中国的乌云网都是类似范例。

台湾的 VulReport 正起步，在营运、实际执行上都还有待观察，不过此举确实提升台湾的资安安全意识，值得大众、企业、政府机关多加参考。

【101创业大小事／整理报导】