利用互聯(lián)網(wǎng)把業(yè)務(wù)眾包出去肯定算不上新概念，不過現(xiàn)在這種模式突然扎堆出現(xiàn)在了安全領(lǐng)域。

在以前，一個中小型的企業(yè)如果想做安全測試，往往需要向乙方公司交一筆不菲的費用，而且最終測試結(jié)果如何也難以評估；但新誕生的眾包安全模式則有望利用互聯(lián)網(wǎng)平臺把安全這個相對封閉的行業(yè)規(guī)范、透明起來。

就像漏洞盒子創(chuàng)始人袁勁松所說的那樣：做安全不應(yīng)該一直封閉。漏洞盒子就正在以眾包、透明的形式來做安全服務(wù)。

和其他眾包模式類似，漏洞盒子也是提供一系列網(wǎng)絡(luò)工具來對接安全人員（白帽子）和廠商。所以這類平臺誕生之處就會面臨一個問題：如何把白帽子和廠商同時吸引到自家平臺上來？畢竟缺了任何一方，這樣的平臺就沒法正常運轉(zhuǎn)。

對于漏洞盒子來說，吸引白帽子這樣的事情并不算難。由于其脫胎于國內(nèi)的安全媒體Freebuf，所以在平臺誕生之處就已經(jīng)獲得了一定數(shù)量的白帽子，其中甚至不乏國外的安全人員。在吸引廠商層面，除了Freebuf媒體之前積累下來的資源外，他們也會去主動聯(lián)系一些廠商。現(xiàn)在騰訊、百度、阿里巴巴這樣的公司都已經(jīng)出現(xiàn)在了漏洞盒子的合作伙伴名單中。

在有了白帽子和廠商入駐之后，作為平臺方當(dāng)然是想辦法設(shè)計合適的產(chǎn)品來對接雙方的需求。在這樣一個眾包平臺上，白帽子和廠商的需求都很簡單。前者想實現(xiàn)自身價值并獲利，后者則想解決潛在的安全隱患

基于此，漏洞盒子的平臺上提供了“短期”和“長期”兩種項目形式。

所謂短期項目就是廠商明確漏洞的測試范圍、測試時間、有效的漏洞類型、是否提供現(xiàn)金獎勵等條件，白帽子按照廠商的需求完成相關(guān)的測試工作進而獲取收益。而長期項目則是廠商入住在漏洞盒子平臺上，并提供安全測試人員可測試的范圍、時間以及測試規(guī)則，然后通過漏洞盒子實行漏洞獎勵計劃。

在短期項目內(nèi)，根據(jù)廠商的需求，漏洞盒子又提供“公開項目”和“私人項目”兩種選擇模式。“公開項目”顧名思義就是所有注冊的測試人員均可查看漏洞詳情并且參與項目。而由于某些項目對保密性和測試者資質(zhì)有一定要求，所以這個時候漏洞盒子就會出面邀請一些相應(yīng)領(lǐng)域的專家來做對應(yīng)的項目，“私人項目”也就隨之誕生了。

無論是哪一種項目，在漏洞盒子的平臺上都會給出明確的漏洞處理狀態(tài)，白帽子和廠商雙方都可以跟蹤整個項目的運行情況，這樣以來整個安全測試工作對企業(yè)來說就不再是一個“黑匣子”，而且按效果付費的模式也讓企業(yè)方可以更好的量化整個測試結(jié)果。

就像所有看上去有前景的互聯(lián)網(wǎng)產(chǎn)品在中國都不乏競爭對手一樣，漏洞盒子并不是國內(nèi)唯一一家以眾包模式做安全測試的，像烏云眾測、Sobug安全眾測平臺都是在差不多的時間點上線的類似服務(wù)。騰訊安全應(yīng)急響應(yīng)中心在對比使用了幾家的服務(wù)之后，認(rèn)為測試平臺的“保密性”、“專業(yè)性”、“合規(guī)性”、“流程和規(guī)范”會成為廠商的主要考量因素，而滿足這些因素的平臺自然能更好的獲得廠商的青睞。

在安全行業(yè)，有一條著名的林納斯定律，它說的是有“足夠多的眼睛，就可讓所有問題浮現(xiàn)（given enough eyeballs, all bugs are shallow）”。不過OpenSSL漏洞的事實告訴我們，只有足夠多的眼睛還是不夠的，配上合理的激勵機制才能盡最大的可能性找出問題所在，而這正是這些眾包安全測試平臺在做的事情。