汇集高质量白帽子，「火线安全」推出社区原生的云安全服务_详细解读_最新资讯_热点事件

软件是人写的，没有绝对的安全，这几乎是整个安全行业的共识。随着企业上云的加速，IT资产的漏洞也暴露给了全世界的黑客。企业需要更多手段降低漏洞风险。

安全众测正是手段之一，这种测试方式是号召尽量多的白帽子，在规模化的基础上，借助“黑客视角”和漏洞赏金带来的竞争效应，提升漏洞被提前发现的概率。

于2020年4月上线的火线安全（平台），是社区原生的白帽子安全平台，主要模式是联合顶级的白帽子专家为企业提供云端安全服务，并将其中的基础能力自动化和标准化，从而大幅提高安全服务的效率。如果从供需端拆解，白帽子在火线平台上可以通过服务获得收益和进步，企业可以通过和火线平台合作，让更多专业人士帮助自身测试。

提及创业初衷，火线平台创始人邬迪从行业角度介绍，安全是一个攻防持续演进的行业，没有任何产品能够让企业一劳永逸，只有通过持续的服务才能解决新型的安全问题。在成熟市场中，安全服务的比例在50%甚至60%以上。中国的安全服务目前在市场占比不到20%，但越来越多客户意识到安全服务的重要性，所以增速较快。

邬迪介绍说，早在2015年，中、美两国就同时出现了白帽子众测平台，国内的众测平台还拥有一定先发优势。经过5年的发展，美国的众测平台发展迅猛，其中头部平台的白帽子数量已近百万人，发放漏洞赏金超过1亿美金，这促进了企业安全漏洞的修复。相比而言，国内的众测平台发展相对缓慢。

但邬迪认为国内的白帽子的能力是较高的，例如美国众测平台Hackerone的公开数据显示，仅在2020年，中国白帽子就已经帮助入驻该平台的企业发现了赏金超过500万美金的安全漏洞，并多次获得致谢。他觉得，随着IT资产云化和大型企业对众测模式的逐渐接受，未来5年一定是众测的爆发期。

不论是何种平台，核心竞争力都在于链接多个上下游角色，并尽量和上下游建立紧密联系。落在火线平台上，上下游分别是白帽子和对安全众测有需求的企业。

邬迪认为，意识到安全服务价值的客户会选择火线等平台进行安全众测。而由于行业安全演练的实战化和常态化，让越来越多的企业认识到安全服务特别是持续安全测试的必要性。火线刚上线不到一年，也已和数十家大型企业建立了合作，其中大部分是一线互联网公司，如百度、京东、快手、贝壳等，复购率达100%。

在对白帽子的连接上，火线平台通过为白帽子提供基础设施的方式提升其工作效率。在进行测试的过程中，白帽子需要先进行基本信息收集、IT资产收集及分析等工作，才能真正开始检测，但由于资料繁多、资产复杂等原因，这三个步骤在落地上非常繁琐。另外，白帽子在真正进行检测工作时也需要利用工具提升工作效率。针对这些痛点，火线为白帽子提供了“火器”一站式渗透工具箱，包括五款工具，其中最重要的两款工具“哮天”和“灵芝”，分别用以解决数据收集复杂以及检测效率低下的问题。同时，灵芝接入了开发流程，可以结合时下较新的动态插桩和动态污点追踪方式实现漏洞检测。另外，得益于高强度的社区应用，火线的DevSecOps工具（灵芝）也实现了产品化，目前也销售给了多个世界500强客户。

在安全众测的商业模式上，火线平台将客户的漏洞奖金直接给到白帽子，从而充分肯定白帽子的工作。公司认为，未来随着安全服务市场的扩大，客户方为众测平台在运营能力方面的付费意愿会越高，平台通过此类收入获得利润。这一判断的信心来自两方面，第一是市场趋势，早期互联网公司对安全众测较为开放，而近年来一些行业大客户在逐步接受众测的方式。第二，为了帮助客户方准确量化白帽子所付出的测试精力，火线不仅成为了全球首个全实名制的白帽子安全平台，同时也上线了安全沙箱以及沙箱管理后台，提升客户对测试流程的信任感。

换言之，做这件事不仅需要技术、产品、商务等能力，还需要对白帽子群体具备较高的理解力、同理心和影响力。而火线的核心团队不仅在安全开发、渗透测试、企业服务方面拥有多年的经验，还曾参与创立全球最大的白帽子社区。据介绍，在新平台运营近8个月时，在火线认证的安全专家数量就已突破5000人，是增长最快的白帽子平台。

最后从投融资角度，火线在上线首月便完成了天使轮融资。投资方包括陆奇博士领衔的奇绩创坛，国内安全赛道投资机构北京基石信安，以及聚焦于企业级服务的赛意产业基金。