360推出“库带计划”：悬赏漏洞保护网站安全

网站防护能力薄弱已经成为中国网络安全的短板

360公司今日启动漏洞悬赏项目“库带计划”，以现金奖励方式征集开源建站系统漏洞，用以帮助软件公司和开发者及时推出漏洞补丁，加强国内数百万家网站对黑客攻击“拖库”的防范能力。此举同时也有助于提升360网站安全检测平台扫描、防御漏洞的能力。

通过现金奖励方式征集技术高手报告0day漏洞，是国际领先的网络安全防御趋势。以惠普公司旗下ZDI(0day攻击防御计划)为例，明码标价征集漏洞，一方面可以通知相关厂商修复，另一方面也提升了自身安全产品的防护能力。今年3月，微软最新推出的IE浏览器补丁程序修复了9个漏洞，其中6个漏洞由ZDI报告给微软，其余3个漏洞由360等安全公司发现并报告微软。可见，漏洞悬赏征集项目已经成为促进漏洞修复的重要动力。

360此次推出“库带计划”，是国内首个第三方漏洞付费收录平台，从而使中国网络安全行业与国际规则接轨。360“库带计划”目前主要针对开源建站系统漏洞进行征集、报告处理和安全维护，奖励金额从100元到10000元不等，按照漏洞危害等级确定额度。

2011年底，国内多家知名网站遭黑客入侵窃取密码数据库，超过2亿条帐号密码在网上公开流传。究其原因，网站存在漏洞是黑客入侵的主要途径。据360网站安全检测平台调查，国内有超过半数网站使用各种流行的开源建站系统。一旦建站系统出现没有补丁的0day漏洞，往往会有数十万甚至百万级网站成为任由黑客宰割的“肉鸡”。而在过去一年，360网站安全检测平台收录的各种开源建站系统高危0day漏洞达到102个。

360总裁齐向东表示，防范黑客利用0day漏洞攻击网站，最有效的方法尽快发现漏洞、并秘密通知厂商进行修复。360“库带计划”收到漏洞后，会第一时间将漏洞信息通报相关厂商、开发者和国家漏洞库，并将漏洞扫描和防护规则加入360网站安全产品中，保护网站客户不受漏洞影响。

齐向东强调，360“库带计划”重奖收录的漏洞，都会免费分享给国内知名的网络安全公司，帮助其他安全产品的网站用户提升漏洞防御能力，实现全行业共赢。