1. 什麼是 apache 組件
[編輯本段]阿帕奇族
Apache音譯為阿帕奇,是北美印第安人的一個部落,叫阿帕奇族,在美國的西南部。相傳阿帕奇是一個武士,他英勇善戰,且戰無不勝,被印第安人奉為勇敢和勝利的代表,因此後人便用他的名字為印第安部落命名,而阿帕奇族在印第安史上也以強悍著稱。
[編輯本段]Apache基金會
Apache軟體基金會(也就是Apache Software Foundation,簡稱為ASF),是專門為運作一個開源軟體項目的 Apache 的團體提供支持的非盈利性組織,這個開源軟體項目就是 Apache 項目。這個組織把自己作為有著相同目標的開發者與用戶的團體,而不是簡單的共享在一個伺服器上的一組項目的組織團體。在它所支持的 Apache 項目與子項目中,所發行的軟體產品都遵循 Apache許可證(Apache License)。
Apache軟體基金會(ASF)正式創建於1999年,它的創建者是一個自稱為「Apache 組織」的群體。這個「Apache 組織」在1999年以前就已經存在很長時間了,這個組織的開發者愛好們聚集在一起,在美國伊利諾斯大學超級計算機應用程序國家中心(National Center for Supercomputing Applications,簡稱為NCSA)開發的 NCSA HTTPd 伺服器的基礎上開發與維護了一個叫 Apache 的 HTTP伺服器。
最初 NCSA HTTPd 伺服器是由 Rob McCool 開發出來的,但是它的最初開發者們逐漸對這個軟體失去了興趣,並轉移到了其他地方,造成了沒有人來對這個伺服器軟體提供更多的技術支持。因為這個伺服器的功能又如此強大,而代碼可以自由下載修改與發布,當時這個伺服器軟體的一些愛好者與用戶開始自發起來,互相交流並分發自己修正後的軟體版本,並不斷改善其功能。為了更好進行溝通,Brian Behlendorf 自己建立了一個郵件列表,把它作為這個群體(或者社區)交流技術、維護軟體的一個媒介,把代碼重寫與維護的工作有效組織起來。這些開發者們逐漸地把他們這個群體稱為「Apache 組織」,把這個經過不斷修正並改善的伺服器軟體命名為 Apache 伺服器(Apache Server)。
這個命名是根據北美當地的一支印第安部落而來,這支部落以高超的軍事素養和超人的忍耐力著稱,19世紀後半期對侵佔他們領土的入侵者進行了反抗。為了對這支印第安部落表示敬仰之意,取該部落名稱(Apache)作為伺服器名。但一提到這個命名,這里還有流傳著一段有意思的故事。因為這個伺服器是在 NCSA HTTPd 伺服器的基礎之上,通過眾人努力,不斷地修正、打補丁(Patchy)的產物,被戲稱為「A Patchy Server」(一個補丁伺服器)。在這里,因為「Patchy」與「Apache」是諧音,故最後正式命名為「Apache Server」。
後來由於商業需求的不斷擴大,以 Apache HTTP 伺服器為中心,啟動了更多的與 Apache 項目並行的項目,比如mod_ perl、PHP、Java Apache等等。隨著時間的推移、形勢的變化,Apache軟體基金會的項目列表也不斷更新變化中--不斷的有新項目啟動,項目的中止以及項目的拆分與合並。比如一開始,Jakarta 就是為了發展 JAVA 容器而啟動的 Java Apache 項目,後來由於升陽公司(SUN)的建議,項目名稱變為 Jakarta 。但當時該項目的管理者也沒有想到 Jakarta 項目因為 JAVA 的火爆而發展到如今一個囊括了眾多基於 JAVA 語言開源軟體子項目的項目。以至後來,不得不把個別項目從 Jakarta 中獨立出來,成為 Apache軟體基金會的頂級項目,Struts 項目就是其中之一。
最近,為了避免 SCO 與 UNIX 開源社區之間的發生糾紛降臨在 Apache 軟體基金會(ASF)身上。Apache軟體基金會(ASF)裡面開始採取一些措施,讓眾多的項目進行更多協調的、結構化管理,並保護自己的合法利益,避免一些潛在的合乎法律的侵犯(potential legal attacks)。
主要成果:HTTP Server,Ant,DB,iBATIS,Jakarta,Logging,Maven,Struts,Tomcat,Tapestry等等。
[編輯本段]Apache Server
Apache是世界使用排名第一的Web伺服器軟體。它可以運行在幾乎所有廣泛使用的計算機平台上。
Apache源於NCSAhttpd伺服器,經過多次修改,成為世界上最流行的Web伺服器軟體之一。Apache取自「a patchy server」的讀音,意思是充滿補丁的伺服器,因為它是自由軟體,所以不斷有人來為它開發新的功能、新的特性、修改原來的缺陷。Apache的特點是簡單、速度快、性能穩定,並可做代理伺服器來使用。
本來它只用於小型或試驗Internet網路,後來逐步擴充到各種Unix系統中,尤其對Linux的支持相當完美。Apache有多種產品,可以支持SSL技術,支持多個虛擬主機。Apache是以進程為基礎的結構,進程要比線程消耗更多的系統開支,不太適合於多處理器環境,因此,在一個Apache Web站點擴容時,通常是增加伺服器或擴充群集節點而不是增加處理器。到目前為止Apache仍然是世界上用的最多的Web伺服器,市場佔有率達60%左右。世界上很多著名的網站如Amazon.com、Yahoo!、W3 Consortium、Financial Times等都是Apache的產物,它的成功之處主要在於它的源代碼開放、有一支開放的開發隊伍、支持跨平台的應用(可以運行在幾乎所有的Unix、Windows、Linux系統平台上)以及它的可移植性等方面。
Apache的誕生極富有戲劇性。當NCSA WWW伺服器項目停頓後,那些使用NCSA WWW伺服器的人們開始交換他們用於該伺服器的補丁程序,他們也很快認識到成立管理這些補丁程序的論壇是必要的。就這樣,誕生了Apache Group,後來這個團體在NCSA的基礎上創建了Apache。
Apache web伺服器軟體擁有以下特性:
支持最新的HTTP/1.1通信協議
擁有簡單而強有力的基於文件的配置過程
支持通用網關介面
支持基於IP和基於域名的虛擬主機
支持多種方式的HTTP認證
集成Perl處理模塊
集成代理伺服器模塊
支持實時監視伺服器狀態和定製伺服器日誌
支持伺服器端包含指令(SSI)
支持安全Socket層(SSL)
提供用戶會話過程的跟蹤
支持FastCGI
通過第三方模塊可以支持Java Servlets
如果你准備選擇Web伺服器,毫無疑問Apache是你的最佳選擇。
[編輯本段]Apache有名的幾個項目介紹
HTTP Server
這個在前面的段落介紹過了,Apache已經是他的代號了
ActiveMQ
免費開源由java編寫符合JMS1.1標準的消息中間件。
另外,它也支持通過除java語言外的語言的使用
Ant
這個太出名了。標準的批處理工具。是一套基於java的程序打造工具
Commons
一些常用的工具類庫,包括common-pool,dbcp,fileupload,Common-beans等。
Excalibur
它的主要產品是一個由java寫成的,名字叫做Fortress(要塞) 的輕量級的可嵌入式反向控制容器。
iBATIS
並入的一個項目,是ORM的一個很流行的工具
Geronimo
是Apache軟體基金會為了創造一個兼容j2ee的容器,而整理出來的一個新成果
Jakarta
許多Java子項目的集成,tomcat,ant等就是從這里孵化出去的。
James
是一套用java開發的郵件、新聞組、消息伺服器。它使用的avalon組件框架。目前支持 SMTP, POP3 和 NNTP 很快也會支持 IMAP
Logging
基於java的可靠,快速,擴展性強的日誌工具
Maven
是一套java開發的工程綜合管理工具。它基於工程對象模型(POM)的理念
Portals
門戶產品
Struts
一套通過servlets和jsp來搭建web應用的MVC框架
Tomcat
用量最大的免費的Java伺服器
[編輯本段]阿帕奇武裝直升機
阿帕奇武裝直升機,AH-64 Apache Armed Helicoper,美國休斯直升機公司1975年研製的反坦克武裝直升機。最大平飛時速307千米,實用升限6250米,最大上升率16.2米/秒,航程578千米。主要武器:機頭旋轉炮塔內裝1門30毫米鏈式反坦克炮、4個外掛點可掛8枚反坦克導彈和工具,19聯裝火箭發射器。最大起飛重量7890千克。機上還裝有目標截獲顯示系統和夜視設備,可在復雜氣象條件下搜索、識別與攻擊目標。它能有效摧毀中型和重型坦克,具有良好的生存能力和超低空貼地飛行能力,是美國當代主戰武裝直升機。
2. 阿里雲未及時通報重大網路安全漏洞,會帶來什麼後果
【文/觀察者網 呂棟】
這事緣起於一個月前。當時,阿里雲團隊的一名成員發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞後,隨即向位於美國的阿帕奇軟體基金會通報,但並沒有按照規定向中國工信部通報。事發半個月後,中國工信部收到網路安全專業機構的報告,才發現阿帕奇組件存在嚴重安全漏洞。
阿帕奇組件存在的到底是什麼漏洞?阿里雲沒有及時通報會造成什麼後果?國內企業在發現安全漏洞後應該走什麼程序通報?觀察者網帶著這些問題采訪了一些業內人士。
漏洞銀行聯合創始人、CTO張雪松向觀察者網指出,Log4j2組件應用極其廣泛,漏洞危害可以迅速傳播到各個領域。由於阿里雲未及時向中國主管部門報告相關漏洞,直接造成國內相關機構處於被動地位。
關於Log4j2組件在計算機網路領域的關鍵作用,有國外網友用漫畫形式做了形象說明。按這個圖片解讀,如果沒有Log4j2組件的支撐,所有現代數字基礎設施都存在倒塌的危險。
國外社交媒體用戶以漫畫的形式,說明Log4j2的重要性
觀察者網梳理此次阿帕奇嚴重安全漏洞的時間線如下:
根據公開資料,此次被阿里雲安全團隊發現漏洞的Apache Log4j2是一款開源的Java日誌記錄工具,控制Java類系統日誌信息生成、列印輸出、格式配置等,大量的業務框架都使用了該組件,因此被廣泛應用於各種應用程序和網路服務。
有資深業內人士告訴觀察者網,Log4j2組件出現安全漏洞主要有兩方面影響:一是Log4j2本身在java類系統中應用極其廣泛,全球Java框架幾乎都有使用。二是漏洞細節被公開,由於利用條件極低幾乎沒有技術門檻。因適用范圍廣和漏洞利用難度低,所以影響立即擴散並迅速傳播到各個行業領域。
簡單來說,這一漏洞可以讓網路攻擊者無需密碼就能訪問網路伺服器。
這並非危言聳聽。美聯社等外媒在獲取消息後評論稱,這一漏洞可能是近年來發現的最嚴重的計算機漏洞。Log4j2在全行業和政府使用的雲伺服器和企業軟體中「無處不在」,甚至犯罪分子、間諜乃至編程新手,都可以輕易使用這一漏洞進入內部網路,竊取信息、植入惡意軟體和刪除關鍵信息等。
阿里雲官網截圖
然而,阿里雲在發現這個「過去十年內最大也是最關鍵的單一漏洞」後,並沒有按照《網路產品安全漏洞管理規定》第七條要求,在2天內向工信部網路安全威脅和漏洞信息共享平台報送信息,而只是向阿帕奇軟體基金會通報了相關信息。
觀察者網查詢公開資料發現,阿帕奇軟體基金會(Apache)於1999年成立於美國,是專門為支持開源軟體項目而辦的一個非營利性組織。在它所支持的Apache項目與子項目中,所發行的軟體產品都遵循Apache許可證(Apache License)。
12月10日,在阿里雲向阿帕奇軟體基金會通報漏洞過去半個多月後,中國國家信息安全漏洞共享平台才獲得相關信息,並發布《關於Apache Log4j2存在遠程代碼執行漏洞的安全公告》,稱阿帕奇官方已發布補丁修復該漏洞,並建議受影響用戶立即更新至最新版本,同時採取防範性措施避免漏洞攻擊威脅。
中國國家信息安全漏洞共享平台官網截圖
事實上,國內網路漏洞報送存在清晰流程。業內人士向觀察者網介紹,業界通用的漏洞報送流程是,成員單位>工業和信息化部網路安全管理局 >國家信息安全漏洞共享平台(CNVD) CVE 中國信息安全測評中心 > 國家信息安全漏洞庫(CNNVD)> 國際非盈利組織CVE;非成員單位或個人注冊提交CNVD或CNNVD。
根據公開資料,CVE(通用漏洞共享披露)是國際非盈利組織,全球通用漏洞共享披露協調企業修復解決安全問題,由於最早由美國發起該漏洞技術委員會,所以組織管理機構主要在美國。而CNVD是中國的信息安全漏洞信息共享平台,由國內重要信息系統單位、基礎電信運營商、網路安全廠商、軟體廠商和互聯網企業建立的信息安全漏洞信息共享知識庫。
上述業內人士認為,阿里這次因為漏洞影響較大,所以被當做典型通報。在CNVD建立之前以及最近幾年,國內安全人員對CVE的共識、認可度和普及程度更高,發現漏洞安全研究人員慣性會提交CVE,雖然最近兩年國家建立了CNVD,但普及程度不夠,估計阿里安全研究員提交漏洞的時候,認為是個人技術成果的事情,上報國際組織協調修復即可。
但根據最新發布的《網路產品安全漏洞管理規定》,國內安全研究人員發現漏洞之後報送CNVD即可,CNVD會發起向CVE報送流程,協調廠商和企業修復安全漏洞,不允許直接向國外漏洞平台提交。
由於阿里雲這次的行為未有效支撐工信部開展網路安全威脅和漏洞管理,根據工信部最新通報,工信部網路安全管理局研究後,決定暫停阿里雲作為上述合作單位6個月。暫停期滿後,根據阿里雲整改情況,研究恢復其上述合作單位。
業內人士向觀察者網指出,工信部這次針對是阿里,其實也是向國內網路安全行業從業人員發出警示。從結果來看對阿里的處罰算輕的,一是沒有踢出成員單位,只是暫停6個月。二是工信部沒有對這次事件的安全研究人員進行個人行政處罰或警告,只是對直接向國外CVE報送的Log4j漏洞的那個安全專家點名批評。
本文系觀察者網獨家稿件,未經授權,不得轉載。
3. 中國發現網路安全漏洞有多快
9月17日,在上海舉行的2017年網路安全博覽會暨網路安全成就展上,一名觀眾在拍攝360展台的網路安全概念車,概念車通過網路安全防護系統防止聯網後被黑客控制。
「記錄未來」公司的研究結果只是最新證據,說明美國軟體漏洞的公開報告系統處於艱難掙扎狀態。美國商務部國家標准與技術研究所開展的項目--美國國家漏洞資料庫(NVD)建立並隨時更新「常見漏洞和風險暴露」(CVEs)編目,由非營利公司邁特公司維護。1999年邁特公司創建此編目時向專家提供了用各種化名代替的常見漏洞威脅的名稱。國家漏洞資料庫從2005年起還增加了機構可用於解決漏洞的內容和資源。保持網路安全更新應以此為參照標准。
給大中國點贊!
4. 阿里又出事了!發現網路安全漏洞,不上報工信部,卻通知外國機構
突發!工信部宣布暫停與阿里雲信息共享平台合作。這是怎麼回事?阿里雲犯了什麼事?要了解這些疑問,首先我們要知道阿帕奇 Log4j2組件。
據悉,阿帕奇 Log4j2組件是基於Java語言的開源日誌框架,被廣泛用於業務系統開發。而在11月24日,阿里雲發現阿帕奇(Apache) Log4j2存在安全漏洞。但阿里雲沒第一時間向工信部報告,反而率先向阿帕奇軟體基金會披露該漏洞。
而阿帕奇軟體基金會是專門為支持開源軟體項目而成立的一個非盈利性組織,於1999年6月在美國特拉華州注冊成立。
在阿里向他們披露漏洞後,奧地利和紐西蘭官方的計算機應急小組率先對這一漏洞進行預警,而中國工信部是在收到網路安全專業機構報告後,才發現阿帕奇Log4j2組件存在嚴重安全漏洞。
根據工信部、國家網信辦、公安部聯合印發的《網路產品安全漏洞管理規定》,網路產品提供者應當在2日內向工信部報送相關漏洞信息,而工信部12月9日發現上述漏洞,距阿里雲首次發現已經過去15天。
值得注意的是:這次的漏洞被認為是「計算機 歷史 上最大的漏洞」。多名雲計算業內人士指出,這是一個非常基礎的日誌庫漏洞。由於組件使用量很大,幾乎所有的java程序都會涉及,所以影響面很大。
工信部指出,這一漏洞可能導致設備遠程受控,進而引發敏感信息竊取、設備服務中斷等嚴重危害,屬於高危漏洞。有關單位和公眾密切關注阿帕奇Log4j2組件漏洞補丁發布,排查自有相關系統阿帕奇Log4j2組件使用情況,及時升級組件版本,以降低網路安全風險。
看完上述,相信大家都知道阿里雲犯了什麼事了吧!根據工信部要求,網路產品提供者發現漏洞,應當在2日內向工信部報送相關漏洞信息。
有此要求是因為通常情況下,發現的早,知道的快,能及時防備、解決漏洞,避免造成損失。反之,知道得越晚,損失越大。
此次的阿帕奇 Log4j2漏洞,幾乎影響全球,原本我國本應該能在11月24日就應對的,最後卻滯後了15天,15天有多少設備受到了「入侵」呢?
所以,也難怪工信部宣布暫停與阿里雲信息共享平台合作。工信部稱,阿里雲公司發現阿帕奇 Log4j2組件嚴重安全漏洞隱患後,未及時向電信主管部門報告,未有效支撐工信部開展網路安全威脅和漏洞管理。經研究,現暫停阿里雲公司作為上述合作單位6個月。暫停期滿後,根據阿里雲公司整改情況,研究恢復其上述合作單位。
5. 導致阿里雲被暫停合作的漏洞 究竟是什麼
新京報貝殼 財經 訊(記者 羅亦丹)因發現安全漏洞後的處理問題,近日阿里雲引發了一波輿論。
據媒體報道,11月24日,阿里雲安全團隊向美國開源社區Apache(阿帕奇)報告了其所開發的組件存在安全漏洞。12月22日,因發現Apache Log4j2組件嚴重安全漏洞隱患後,未及時向電信主管部門報告,阿里雲被暫停作為工信部網路安全威脅信息共享平台合作單位6個月。
12月23日,阿里雲在官方微信公號表示,其一名研發工程師發現Log4j2 組件的一個安全bug,遂按業界慣例以郵件方式向軟體開發方Apache開源社區報告這一問題請求幫助,「隨後,該漏洞被外界證實為一個全球性的重大漏洞。阿里雲因在早期未意識到該漏洞的嚴重性,未及時共享漏洞信息。」
「之前發現這樣的漏洞都是直接通知軟體開發方,這確實屬於行業慣例,但是《網路產品安全漏洞管理規定》出台後,要求漏洞要同時通報給國家主管部門。由於上述法案頒布的時間不是很長,我覺得漏洞的發現者,最開始也未必能評估到漏洞影響的范圍這么大。所以嚴格來說,這個處理不算冤,但處罰其實也沒有那麼嚴格,一不罰錢,二不影響做業務。」」某安全公司技術總監鄭陸(化名)告訴貝殼 財經 記者。
漏洞影響有多大?
那麼,如何理解Log4j2漏洞的嚴重程度呢?
安全公司奇安信將Apache Log4j2漏洞的CERT風險等級定為「高危」,奇安信描述稱,Apache Log4j 是 Apache 的一個開源項目,通過定義每一條日誌信息的級別,能夠更加細致地控制日誌生成過程,「Log4j2中存在JNDI注入漏洞,當程序將用戶輸入的數據進行日誌記錄時,即可觸發此漏洞,成功利用此漏洞可以在目標伺服器上執行任意代碼。」
安域雲防護的監測數據顯示,截至12月10日中午12點,已發現近1萬次利用該漏洞的攻擊行為。據了解,該漏洞影響范圍大,利用方式簡單,攻擊者僅需向目標輸入一段代碼,不需要用戶執行任何多餘操作即可觸發該漏洞,使攻擊者可以遠程式控制制受害者伺服器,90%以上基於java開發的應用平台都會受到影響。
「Apache Log4j RCE 漏洞之所以能夠引起安全圈的極大關注,不僅在於其易於利用,更在於它巨大的潛在危害性。當前幾乎所有的技術巨頭都在使用該開源組件,它所帶來的危害就像多米諾骨牌一樣,影響深遠。」奇安信安全專家對貝殼 財經 記者表示。
「這個漏洞嚴重性在於兩點,一是log4j作為java日誌的基礎組件使用相當廣泛,Apache和90%以上的java應用受到影響。二是這個漏洞的利用入口非常多,幾乎達到了(只要)是這個漏洞影響的范圍,只要有輸入的地方就受到影響。用戶或者攻擊者直接可以輸入的地方比如登錄用戶名、查詢信息、設備名稱等等,以及一些其他來源的被攻擊者污染的數據來源比如網上一些頁面等等。」從事多年漏洞挖掘的安全行業老兵,網友「yuange1975」在微博發文稱。
「簡而言之,該漏洞算是這幾年來最大的漏洞了。」鄭陸表示。
在「yuange1975」看來,該漏洞出來後,因為影響太廣泛,IT圈都在加班加點修補漏洞。不過,一些圈子裡發文章為了說明這個漏洞的嚴重性,又有點用了過高評價這個漏洞的詞語,「我不否認這個漏洞很嚴重,肯定是排名很靠前的漏洞,但是要說是有史以來最大的網路漏洞,就是說目前所有已經發現公布的漏洞里排第一,這顯然有點誇大了。」
「log4j漏洞發現者恐怕發現漏洞時對這個漏洞認識不足,這個應用的范圍以及漏洞觸發路徑,我相信一直到阿里雲上報完漏洞,恐怕漏洞發現者都沒完全明白這個漏洞的真正嚴重性,有可能當成了Apache下一個普通插件的一個漏洞。」yuange1975表示。
9月1日起施行新規 專家:對於維護國家網路安全具有重大意義
據了解,業界的開源條例遵循的是《負責任的安全漏洞披露流程》,這份文件將漏洞披露分為5個階段,依次是發現、通告、確認、修復和發布。發現漏洞並上報給原廠商,是業內常見的程序漏洞披露的做法。
貝殼 財經 記者觀察到,白帽黑客建立漏洞發現與收集的平台並告知企業的做法一度在圈內流行。根據《 財經 天下》的報道,把漏洞報給原廠商而不是平台方,也會有潛在的好處。包括微軟、蘋果和谷歌在內的廠商對報告漏洞的人往往會有獎勵,「最高的能給到十幾萬美元」。更重要的是名譽獎勵。幾乎每一家廠商對第一個報告漏洞的人或者集體,都會公開致謝。「對於安全研究人員而言,這種名聲也會讓他們非常在意。
不過,今年9月1日後,這一行業「常見程序」就要發生變化。
7月13日,工信部、國家網信辦、公安部印發《網路產品安全漏洞管理規定》,要求任何組織或者個人設立的網路產品安全漏洞收集平台,應當在兩日內向工業和信息化部網路安全威脅和漏洞信息共享平台報送相關漏洞信息。該規定自2021年9月1日起施行。
值得注意的是,《規定》中也有漏洞發現者需要向產品相關提供者通報的條款。如《規定》第七條第一款顯示,發現或者獲知所提供網路產品存在安全漏洞後,應當立即採取措施並組織對安全漏洞進行驗證,評估安全漏洞的危害程度和影響范圍;對屬於其上游產品或者組件存在的安全漏洞,應當立即通知相關產品提供者。第七條第七款則表示,不得將未公開的網路產品安全漏洞信息向網路產品提供者之外的境外組織或者個人提供。
奇安信集團副總裁、補天漏洞響應平台主任張卓在接受新京報貝殼 財經 記者采訪時表示,《網路產品安全漏洞管理規定》釋放了一個重要信號:我國將首次以產品視角來管理漏洞,通過對網路產品漏洞的收集、研判、追蹤、溯源,立足於供應鏈全鏈條,對網路產品進行全周期的漏洞風險跟蹤,實現對我國各行各業網路安全的有效防護。在供應鏈安全威脅日益嚴重的全球形勢下,《規定》對於維護國家網路安全,保護網路產品和重要網路系統的安全穩定運行,具有重大意義。
張卓表示,《規定》第十條指出,任何組織或者個人設立的網路產品安全漏洞收集平台,應當向工業和信息化部備案。同時在第六條中指出,鼓勵相關組織和個人向網路產品提供者通報其產品存在的安全漏洞,還「鼓勵網路產品提供者建立所提供網路產品安全漏洞獎勵機制,對發現並通報所提供網路產品安全漏洞的組織或者個人給予獎勵。」這兩條規定規范了漏洞收集平台和白帽子的行為,有利於讓白帽子在合法合規的條件下發揮更大的 社會 價值。