導讀：對于很多人來說，黑客是一個既炫酷又神秘的行業(yè)，很多人窮其一生希望成為一個黑客，在互聯(lián)網(wǎng)上攻城略地。而就在很多人想著怎么攻破互聯(lián)網(wǎng)安全墻的時候，有這么一群正面黑客正在幫助人們維護互聯(lián)網(wǎng)安全，我們把他們稱為白帽。本期話題我們就將接觸到這樣一群白帽，向大家講述他們的創(chuàng)業(yè)歷程。

一、寧做興趣的主人，不做成功的俘虜

其實我的創(chuàng)業(yè)經(jīng)歷要追溯到05年的時候，那時候?qū)ヂ?lián)網(wǎng)音樂領域比較感興趣，所以就做了一個互聯(lián)網(wǎng)音樂平臺，不溫不火的過了幾年，最終關閉了。這是我第一次嘗試去做一份自己的事業(yè)，無所謂成功或者失敗，當然，這幾年的互聯(lián)網(wǎng)創(chuàng)業(yè)經(jīng)歷也讓我對互聯(lián)網(wǎng)產(chǎn)品有了更深入的認識。

而我真正意義上的創(chuàng)業(yè)應該算是建立中國煤炭機械網(wǎng)，這是我在11年的時候開發(fā)的第一個面向企業(yè)的產(chǎn)品。

11年我開始創(chuàng)業(yè)建立網(wǎng)絡尖刀團隊的同時，在煤機之城雞西，與另外幾位合伙人建立了中國煤炭機械網(wǎng)，定位垂直領域的煤機電商。

經(jīng)營了兩年，產(chǎn)品實現(xiàn)贏利后，就留給合伙人去經(jīng)營了。隨后我在13年夏天加入知道創(chuàng)宇，負責安全聯(lián)盟站長平臺，同時也在負責SCANV掃描引擎一些事情。

很多人問我為什么選擇在網(wǎng)站走上正軌實現(xiàn)盈利的時候離開。

對我來說，我是那種適合沖刺的人，帶團隊，組團隊，快速贏利商業(yè)化。但是在黑龍江雞西這樣的城市來講，平臺確實有點小，資源什么的也不如一線城市充足。所以當和知道創(chuàng)宇接觸上之后，聊了很多關于互聯(lián)網(wǎng)安全玩法，這讓我非常著迷，所以就離開了自己的公司，成了知道創(chuàng)宇的員工。

二、網(wǎng)絡尖刀——興趣范的互聯(lián)網(wǎng)圈子

網(wǎng)絡尖刀其實是一個非企運營的互聯(lián)網(wǎng)虛擬團隊，目的是把一些垂直領域的人，聚集在一起，在互聯(lián)網(wǎng)上成為一把尖刀。當初的構(gòu)想是建立安全、產(chǎn)品、運營、公關四個團隊，算是一個互聯(lián)網(wǎng)社區(qū)，其實說成圈子更適合一些吧。我們原本是通過一個社區(qū)BBS交流，后來發(fā)現(xiàn)用QQ群更直觀，所以就改用了四個群來完成這個共同成長和交流的圈子。這方面安全團隊氛圍搞的最好，所以接觸到我們的人，就把網(wǎng)絡尖刀定位成了一個互聯(lián)網(wǎng)安全品牌。

平時主要是安全方面交流的居多，比如我們?nèi)ネ诰蚰膫€廠商的漏洞，一個人搞不定了，一群人去研究；哪個在做產(chǎn)品 一群人去完善規(guī)則。我們?yōu)檫@些企業(yè)都提供安全支撐及服務。在網(wǎng)絡尖刀這個團隊，我們達成的共識就是：興趣范不該夾雜商業(yè)價值，團隊個人是有直接的收入的，團隊不需要。

三、做懂得分享與分擔的網(wǎng)絡尖刀

我們是一群有共同興趣和愛好的人，一起做一些不賺錢，但是能一起開心的事情，傳播一些我們認為對的精神和思想。金錢沖刺的時代，讓交流、共享的精神慢慢變的少了，人們只在乎別人給的分享，卻很少愿意一起分擔。我們只是希望能在這個小圈子里，做好分享和分擔這兩件事。

其實分享和分擔在一個團隊里是相輔相成的，有好的思維、好的心得體會、學會了新的技能，要沉淀下來成為教程，做到可復制化，讓團隊里的大部分人都能具備這種技能。我想這就是分享了，不吝嗇自己得到的好東西，懂得拿出來大家共享。

比如我們常說的0day這個概念吧，我們發(fā)現(xiàn)了，某個開源組件一個通用的漏洞，各個大廠商很多都有用這個組件的，他一個人可以拿這個0day去刷很多漏洞出來，變成禮品或者錢。但是在尖刀里很多人是選擇把這個漏洞公開，小伙伴們分工，你去哪個，我去哪個。誰搞不定，那就一起研究為什么沒搞定，遇到事情一起解決問題的過程，也自然就是分擔。

四、Sobug眾測——做安全測試領域的橋梁

關于加入Sobug，主要是因為和Sobug創(chuàng)始人的做事風格以及對互聯(lián)網(wǎng)安全的理解有著共同的思想，大家興趣相投，就加入進來一起做好這件事。

相對于部分現(xiàn)有眾測平臺由白帽自主發(fā)現(xiàn)漏洞再分散提交而將甲方擺在相對被動位置的模式，Sobug 有著相反的思路。

我們對 Sobug 的理想定位是這樣的：讓甲方采取主動權(quán)，由公司主動在平臺發(fā)布眾包測試請求，再由白帽接單開始為其提供測試結(jié)果和漏洞報告，最后由甲方向白帽和平臺付費。

這其中有幾個眾測平臺容易碰到的問題要解決：

首先是民間白帽的潛在風險：甲方往往難以對民間白帽付諸信任而將產(chǎn)品交給他們測試，與此同時平臺也很難保證這些白帽測試后的漏洞走向。信任是眾測的根本，否則這個市場需求就不成立。對此，Sobug 采用了堡壘機的解決方案。通過在 Sobug 向白帽提供的堡壘機中模擬甲方申測產(chǎn)品環(huán)境，從而將參與測試的黑客其行為限制在可控范圍內(nèi)，同時將對堡壘機的遠程操作進行錄屏以監(jiān)控他們的行為。

其次是報酬：報酬是驅(qū)動白帽參與測試并最終報告給廠商的直接因素。如果報酬不合理，白帽測試的動力就無法保證，更壞的情況可能導致漏洞流入其它渠道。Sobug 的做法是有平臺建立定價體系和定價標準，再交由廠商選擇接受或進一步與白帽商討，從而保障白帽的收入同時讓漏洞價格更公開透明。

接著是與傳統(tǒng)安全廠商的共生關系：眾測平臺理論上與傳統(tǒng)安全廠商存在競爭關系，而且會壓低傳統(tǒng)安全廠商服務的價格。冷焰決定將競爭轉(zhuǎn)化為合作?，F(xiàn)在傳統(tǒng)安全廠商有很大一部分支出用在市場和銷售，如果和平臺互相做信譽背書，傳統(tǒng)安全廠商在平臺領取甲方發(fā)放的高端測試需求，就能極大地減少技術(shù)之外的成本。

五、傳遞正能量——網(wǎng)絡尖刀校園行

網(wǎng)絡尖刀在線上已經(jīng)做了兩年了，線上的圈子已經(jīng)相對成熟，后面想做一些線下的交流。所以我們又在一些學校成立了校園行計劃，免費在學校內(nèi)開展差不多安全培訓模式的課程，普及安全能力的同時樹立正確的信息安全價值。在校園內(nèi)由網(wǎng)絡尖刀成員自發(fā)，組建校園信息安全社團。定期在校園舉辦小型課程，一節(jié)節(jié)課程去給感興趣的學生講課。

目前開展了5個學校：西安電子科技大學、杭州電子科技大學、上海復旦大學、福建泉州師范學院、北京現(xiàn)代管理大學。

這五個學校里有我們的核心成員，所以由他們發(fā)起。北京現(xiàn)代管理大學那里已經(jīng)有了線下社團30人的規(guī)模了，后面我們還會在更多城市，更多學校做更多的交流，希望能通過我們這個圈子對互聯(lián)網(wǎng)安全的理解，幫助更多的年輕人樹立正確的互聯(lián)網(wǎng)安全方面的價值觀。

結(jié)語：對于未知的領域，很多人都保持著敬畏的態(tài)度，而深入了解之后，你就會發(fā)現(xiàn)生活一樣很平淡，在小編看來，傳奇也不過是能夠把一件平淡的事情一直堅持做下去。

原文刊載：創(chuàng)業(yè)早報，QQ：1071803295/微信：s1071803295