彙集高質量白帽子，「火線安全」推出社區原生的雲安全服務

軟件是人寫的，沒有絕對的安全，這幾乎是整個安全行業的共識。隨著企業上雲的加速，IT資產的漏洞也暴露給了全世界的黑客。企業需要更多手段降低漏洞風險。

安全眾測正是手段之一，這種測試方式是號召儘量多的白帽子，在規模化的基礎上，借助「黑客視角」和漏洞賞金帶來的競爭效應，提升漏洞被提前發現的概率。

於2020年4月上線的火線安全（平台），是社區原生的白帽子安全平台，主要模式是聯合頂級的白帽子專家為企業提供雲端安全服務，並將其中的基礎能力自動化和標準化，從而大幅提高安全服務的效率。如果從供需端拆解，白帽子在火線平台上可以通過服務獲得收益和進步，企業可以通過和火線平台合作，讓更多專業人士幫助自身測試。

提及創業初衷，火線平台創始人鄔迪從行業角度介紹，安全是一個攻防持續演進的行業，沒有任何產品能夠讓企業一勞永逸，只有通過持續的服務才能解決新型的安全問題。在成熟市場中，安全服務的比例在50%甚至60%以上。中國的安全服務目前在市場佔比不到20%，但越來越多客戶意識到安全服務的重要性，所以增速較快。

鄔迪介紹說，早在2015年，中、美兩國就同時出現了白帽子眾測平台，國內的眾測平台還擁有一定先發優勢。經過5年的發展，美國的眾測平台發展迅猛，其中頭部平台的白帽子數量已近百萬人，發放漏洞賞金超過1億美金，這促進了企業安全漏洞的修復。相比而言，國內的眾測平台發展相對緩慢。

但鄔迪認為國內的白帽子的能力是較高的，例如美國眾測平台Hackerone的公開數據顯示，僅在2020年，中國白帽子就已經幫助入駐該平台的企業發現了賞金超過500萬美金的安全漏洞，並多次獲得致謝。他覺得，隨著IT資產雲化和大型企業對眾測模式的逐漸接受，未來5年一定是眾測的爆發期。

不論是何種平台，核心競爭力都在於鏈接多個上下游角色，並儘量和上下游建立緊密聯繫。落在火線平台上，上下游分別是白帽子和對安全眾測有需求的企業。

鄔迪認為，意識到安全服務價值的客戶會選擇火線等平台進行安全眾測。而由於行業安全演練的實戰化和常態化，讓越來越多的企業認識到安全服務特別是持續安全測試的必要性。火線剛上線不到一年，也已和數十家大型企業建立了合作，其中大部分是一線互聯網公司，如百度、京東、快手、貝殼等，復購率達100%。

在對白帽子的連接上，火線平台通過為白帽子提供基礎設施的方式提升其工作效率。在進行測試的過程中，白帽子需要先進行基本信息收集、IT資產收集及分析等工作，才能真正開始檢測，但由於資料繁多、資產複雜等原因，這三個步驟在落地上非常繁瑣。另外，白帽子在真正進行檢測工作時也需要利用工具提升工作效率。針對這些痛點，火線為白帽子提供了「火器」一站式滲透工具箱，包括五款工具，其中最重要的兩款工具「哮天」和「靈芝」，分別用以解決數據收集複雜以及檢測效率低下的問題。同時，靈芝接入了開發流程，可以結合時下較新的動態插樁和動態污點追蹤方式實現漏洞檢測。另外，得益於高強度的社區應用，火線的DevSecOps工具（靈芝）也實現了產品化，目前也銷售給了多個世界500強客戶。

在安全眾測的商業模式上，火線平台將客戶的漏洞獎金直接給到白帽子，從而充分肯定白帽子的工作。公司認為，未來隨著安全服務市場的擴大，客戶方為眾測平台在運營能力方面的付費意願會越高，平台通過此類收入獲得利潤。這一判斷的信心來自兩方面，第一是市場趨勢，早期互聯網公司對安全眾測較為開放，而近年來一些行業大客戶在逐步接受眾測的方式。第二，為了幫助客戶方準確量化白帽子所付出的測試精力，火線不僅成為了全球首個全實名制的白帽子安全平台，同時也上線了安全沙箱以及沙箱管理後台，提升客戶對測試流程的信任感。

換言之，做這件事不僅需要技術、產品、商務等能力，還需要對白帽子群體具備較高的理解力、同理心和影響力。而火線的核心團隊不僅在安全開發、滲透測試、企業服務方面擁有多年的經驗，還曾參與創立全球最大的白帽子社區。據介紹，在新平台運營近8個月時，在火線認證的安全專家數量就已突破5000人，是增長最快的白帽子平台。

最後從投融資角度，火線在上線首月便完成了天使輪融資。投資方包括陸奇博士領銜的奇績創壇，國內安全賽道投資機構北京基石信安，以及聚焦於企業級服務的賽意產業基金。

原創文章，作者：真梓。

本文經授權發布，不代表36氪立場。
如若轉載請註明出處。來源出處：36氪