什么是众包安全？ – 南京伊斯达电子有限公司

在新的软件产品上市之前，需要对其进行漏洞测试。每个负责任的公司都会进行这些测试，以保护自己和客户免受网络威胁。

近年来，开发人员越来越多地依赖众包安全来进行安全调查。但究竟什么是众包安全？它是如何运作的？它与其他常见的风险评估方法相比如何？

众包安全是如何运作的

各种规模的组织通常会使用渗透测试来保护其系统。渗透测试本质上是一种模拟的网络攻击，旨在发现安全漏洞，就像真正的攻击一样。但与真正的攻击不同的是，一旦发现这些漏洞，它们就会被修补。这提高了组织的整体安全性。听起来很简单。

但是渗透测试存在一些明显的问题。它通常每年进行一次，这对于经常更新软件的情况来说是不够的。其次，由于网络安全市场相当饱和，渗透测试公司有时会“发现”根本不存在的漏洞，以为自己的服务收费，并从竞争对手中脱颖而出。此外，还存在预算问题，这些服务可能非常昂贵。

众包安全采用了一种完全不同的模式。它围绕着邀请一群人来测试软件的安全问题。使用众包安全测试的公司邀请一群人或公众来测试他们的产品。这可以直接进行，也可以通过第三方众包平台进行。

虽然任何人都可以参加这些项目，但大多数参与者主要是伦理黑客（白帽黑客）或研究人员，他们参与其中是因为发现安全漏洞通常会获得可观的经济奖励。很明显，相比传统的渗透测试，众包安全更便宜且更有效。

与渗透测试和其他形式的风险评估相比，众包安全具有许多不同的优点。首先，无论您雇佣多么优秀的渗透测试公司，一群不断寻找安全漏洞的人更有可能发现它们。众包安全的另一个明显优势是它可以是开放式的，这意味着它可以全年运行，因此漏洞可以被不断发现（并修补）。

大多数众包安全程序都围绕着相同的基本概念，即为发现漏洞或安全隐患提供经济奖励，但它们可以分为三个主要类别。

几乎所有的科技巨头，从Facebook、苹果到谷歌，都有一个积极的漏洞赏金计划。它们的工作原理非常简单：发现漏洞，就能获得奖励。这些奖励从几百美元到数百万美元不等，所以难怪一些伦理黑客通过发现软件漏洞获得全职收入。

漏洞披露计划与漏洞赏金计划非常相似，但存在一个关键区别：这些计划是公开的。换句话说，当伦理黑客在软件产品中发现安全漏洞时，这些漏洞会被公开，以让每个人都知道。网络安全公司通常参与其中：他们发现漏洞，编写报告，并为开发人员和最终用户提供建议。

如果您下载了一个文件，但不确定是否安全执行，该怎么办？如何检查它是否为恶意软件？如果您设法下载了它，说明您的杀毒软件无法识别其为恶意软件，因此您可以转到VirusTotal或类似的在线扫描器将其上传到那里。这些工具聚合了数十种杀毒产品，用于检查所涉文件是否有害。这也属于众包安全的一种形式。

有人认为，如果不是最终形式的话，网络犯罪就是一种众包安全。这个观点确实有道理，因为没有人比威胁行动者更有动力找到系统中的漏洞，以便为了经济利益和声望而利用它。

总而言之，在软件受到威胁行动者入侵方式没有发生重大变化的情况下，我们很可能会看到众包安全计划如雨后春笋般涌现。这对于开发人员、白帽黑客和消费者来说是一个好消息，但对于网络犯罪分子来说则是一个坏消息。

据市场分析公司Future Market Insights预测，全球众包安全市场在未来几年将持续增长。实际上，预计到2032年市场价值将达到约2.43亿美元。这不仅是由于私营部门的倡议，还因为世界各地的政府已经支持众包安全——例如，多个美国政府机构都拥有积极的漏洞赏金和漏洞披露计划。

这些预测对于了解网络安全行业的发展方向肯定是有用的，但并不需要成为经济学家才能明白为什么企业实体正在采用众包安全方法。无论从哪个角度看问题，数字都是合理的。并且，让一群负责任和值得信赖的人员全年监控您的资产以寻找漏洞，这样做可能会有什么危害？

简而言之，除非威胁行动者侵入软件的方式发生重大变化，否则我们很有可能会见证众包安全计划从各个方面涌现。这对于开发人员、白帽黑客和消费者来说是好消息，但对于网络犯罪分子来说则是坏消息。

众包安全是保护免受网络犯罪的一种方法。从第一台电脑以来，网络安全一直存在，多年来已经发展成多种形式，但目标始终是保护免受未经授权的访问和盗窃。在理想的世界中，不需要网络安全。但在现实世界中，自我保护至关重要。

以上所有内容适用于企业和个人。但是，尽管普通人只要遵循基本的安全规程就可以相对安全地上网，但组织需要采取全方位的方法来应对潜在威胁。这种方法应该主要建立在零信任安全的基础上。