

国内漏洞奖励计划大盘点（下）

腾讯安全应急响应中心

2015-03-05

导读：本文续接“国内漏洞奖励计划大盘点（上）”，上篇主要介绍国内厂商自主建设的漏洞报告平台及奖励计划，而此篇主要介绍国内的第三方建设的漏洞报告平台（非厂商自建），也包括各安全众测平台，以下排名不分先后。

前言

本文续接“国内漏洞奖励计划大盘点（上）”，上篇主要介绍国内厂商自主建设的漏洞报告平台及奖励计划，而此篇主要介绍国内的第三方建设的漏洞报告平台（非厂商自建），也包括各安全众测平台，以下排名不分先后。

乌云漏洞报告平台

主页：http://www.wooyun.org

乌云漏洞报告平台创立于2010年，是国内最早也最知名的在线漏洞报告平台，吸引了许多白帽子。白帽子发现厂商的漏洞后提交到乌云，漏洞确认后会获得一定的积分（乌云币），通过积分兑换礼品。对于高质量的漏洞，会直接提供现金奖励。除了漏洞报告平台本身，乌云还有安全众测（后文叙述）、知识库、社区、招聘等栏目，将白帽子团结在周围。

补天漏洞响应平台

主页：https://butian.360.cn

补天是360建立的第三方漏洞报告平台（其前身叫做“裤带计划”，专门收集开源建站系统漏洞），通过奖励的方式向白帽子征集企业的漏洞，模式与乌云类似。补天采用现金奖励与积分兑换礼品的双重奖励模式。

乌云众测

主页：http://ce.wooyun.org

乌云众测创建于2012年，依托乌云漏洞报告平台聚集的白帽子，以众包的方式为企业提供安全测试，企业按效果向白帽子付费，这也是国内第一家安全众包业务。由于乌云本身已经积累较多的白帽子资源，使得其在技术能力、参与人数、项目效果上有非常大的优势。

漏洞盒子

主页：https://www.vulbox.com/

漏洞盒子是由国内知名安全资讯网站FreeBuf创办的，经过一段时间的发展，漏洞盒子已集安全众测和第三方漏洞报告平台于一身，依托Freebuf积累的白帽子，人气也不错，甚至还有国外白帽子参与。奖励方面也是众测厂商按效果向白帽子付费，第三方漏洞（非众测厂商的漏洞）由漏洞盒子付费。

Sobug众测平台

主页：https://www.sobug.com

Sobug也是一个安全众测平台，厂商在平台发布项目，由白帽子去进行安全测试，厂商按效果付费给白帽子，这点别无新意。不过Sobug团队比较有想法，比如针对厂商的信任问题会推出风险控制计划；还通过技术分享栏目“漏洞时间”提升影响力和积累人气。

威客众测

主页：http://www.secwk.com

威客众测平台创立于2014年8月1日，也是一个安全众测平台。

鉴于目前国内漏洞奖励平台众多，同时，为了方便广大白帽子选择适合自己的平台，腾讯安全应急响应中心特将各类漏洞奖励平台汇总到一个页面方便大家备忘查询。链接：http://security.tencent.com/index.php/xSRC。请大家惠存，不谢。