<转自安全牛>黑客“三国传”：2016上半年“挖洞大赛”完全盘点

caiyi4991

      漏洞是黑客世界的超级武器，挖掘和防御漏洞的能力则是安全厂商技术实力的最佳证明。在2016上半年，微软、谷歌、苹果三大平台的漏洞致谢榜屡遭全球各大安全厂商“刷榜”，来自世界范围内的技术高手们都以帮助三巨头发现和修复漏洞为荣，漏洞致谢榜也成为各大安全团队角逐争锋的竞技场。

       三大平台级巨头中，微软Windows覆盖了大多数PC用户，谷歌Android在智能手机时代崛起，苹果的iPhone和Mac等产品则是以高端用户为主，三巨头共同构建了如今人们网络生活的根基。为了强化系统安全性，微软、谷歌和苹果在每月安全公告中都会对帮助其发现漏洞的黑客高手（俗称“白帽子”）进行公开致谢，其中不乏中国厂商的身影。

微软漏洞致谢榜：趋势科技首次领跑

       微软漏洞致谢榜主要包括两部分，一部分是每月修复的漏洞公告，另一部分是“赏金猎手”（Bounty Hunters）项目。在2015年，微软致谢榜排名前三的是Google Project Zero（93个漏洞致谢，1个赏金项目），Palo Alto Networks（34个漏洞致谢），奇虎360（22个漏洞致谢，4个赏金项目）。趋势科技仅以15个漏洞致谢排名第七。

        

       但是随着趋势科技以3亿美元并购惠普旗下的TippingPoint及Zero Day Initiative悬赏计划，趋势科技在漏洞报告方面也明显发力，2016上半年获得微软34次致谢而排名榜首。Google Project Zero报告的漏洞数量出现大幅下滑，仅获得23次致谢。奇虎360仍排名第三，16次致谢数量相比去年同期还略有提升。

        

      其他中国厂商中，百度也维持了微软漏洞挖掘能力的领先水平，获得16次致谢并列第三，腾讯以14次致谢排名第五。此外，绿盟科技在今年上半年获得微软3次致谢，知道创宇获得1次致谢。

        

谷歌漏洞致谢榜：360一骑绝尘

      谷歌漏洞致谢榜主要统计Android系统和Chrome浏览器的漏洞公告。拥有全球最强黑客天团Google Project Zero的谷歌，其产品漏洞的挖掘难度可想而知。只要挖到2个Android或Chrome漏洞，就足以进入谷歌致谢名单的TOP10排行榜。

        

      在谷歌漏洞致谢榜中，奇虎360在上半年以获得47次致谢而遥遥领先，趋势科技（11次致谢）和Google Project Zero（8次致谢）再列前三。这三家厂商/安全团队在漏洞报告方面可以说是当之无愧的第一阵营。谷歌的Android团队和Chrome安全团队也各获得自家漏洞致谢6次和2次，如果合并计算，谷歌旗下团队在今年上半年发现自家产品漏洞也达到16次。

        

      360在谷歌漏洞报告方面的优势来自360手机卫士安全团队、冰刃实验室（IceSword Lab）、C0RE Team、Vulpecker Team等360旗下不同团队的合力贡献。同时拥有多支具备Android漏洞挖掘和分析能力的高水平技术团队，360在移动互联网安全研究方面可谓重兵投入。

        

      作为中国互联网巨头，阿里巴巴（5次致谢）和腾讯（4次致谢）在移动安全研究方面也格外重视，双双进入谷歌漏洞致谢TOP10榜单，分别排名第六和第八。此外，华为、百度和北京大学也各获得1次谷歌Android漏洞致谢，在谷歌的安全公告中占据一席之地。

        

苹果漏洞致谢榜：越狱团队均缺席

      在去年的苹果安全公告中，最大的亮点无疑是盘古和太极两支越狱团队各报告了10余个漏洞。要知道，越狱必须挖到iOS系统的0day漏洞，把漏洞提交给苹果去修复无异于自砸饭碗。在今年盘古和太极就没有这么慷慨了，想必他们都已挖到不少漏洞，能否成功越狱iOS10我们还需要耐心等待。

        

      在苹果致谢的TOP10榜单上，趋势科技获得35次致谢遥遥领先，Google Project Zero获18次致谢排名次席，第三则是来自中国的腾讯，上半年获得9次致谢。

        

      其他中国安全厂商中，奇虎360获得苹果公司6次致谢排名第六。上半年获得1次致谢的中国团队有三家，分别是猎豹移动（CM Security）、无声信息技术团队（PKAV Team）和知道创宇（KnownSec）。

        

      综合三大巨头漏洞致谢榜，中国安全团队有着亮眼表现，为全球互联网用户使用更安全的系统做出了巨大贡献。在Blackhat、DefCon等国际性安全技术峰会和Pwn2Own等黑客大赛上，也无不活跃着华人的身影。中国，正在漏洞攻防尖端研究领域走在世界的前列。

      不过也应该看到，在攻防技术和产业创新的结合实践方面，中国企业还没有获得国际上足够的认可。在美国投资咨询机构Cybersecurity Ventures今年发布的最新一期《网络安全创新500强》中，中国只有奇虎360、安恒信息、安天实验室和Vkansee这4家企业上榜，美国则有369家企业进入榜单。这一方面是因为中国的安全企业大多扎根国内，国外咨询机构缺乏足够的了解；但另一方面，中国作为网络大国，也需要更多的创新成果来完善全球化的威胁和防御视野，让世界见证更强的中国力量。

尘梦幽然

挖洞大赛？
这脑补的

卡吧观光团

趋势这么牛逼

阿里小白帽

这个感觉不能代表什么吧 那卡巴 诺顿呢

kfsz123

我死了，你们全完蛋

SZTLV

以前360的新闻多，总是听到360被致谢被致谢。如今看来百度和腾讯也不错啊

TOP烽火

360早就不用了哈哈

shulun743

感觉这个 就是个 坑

kfsz123

真正高手谁天天挖洞，都闷声发大财呢。。