HackerOne 放弃现有漏洞分类评级规则，转向行业通用标准

近日，HackerOne官方发布公告，称已放弃使用平台现有的漏洞分类评级标准，转向使用CWE（Common Weakness Enumeration，常见缺陷枚举）标准。

作为全球知名的漏洞协作和悬赏平台，HackerOne创建已有五年。这家公司在13年发起互联网漏洞赏金计划，开始使用自己定义的18种漏洞类型的分类规则。

新旧标准对比（左侧为旧标准）

CWE是由安全社区MITER推出的常见软件安全漏洞列表，是业内相互沟通漏洞信息的通用标准之一。大家看着可能觉得眼生？CVE漏洞编号熟吧，CVE的运营组织就是MITER，分类标准则是CWE。

HackerOne在公告中解释，采用CWE漏洞分类标准，可以对漏洞进行更完整和准确的描述，有效提高平台上企业、白帽子的沟通效率，并且HackerOne也能借此参与减轻/消除漏洞危害的行业讨论当中。

这只是HackerOne和传统安全标准接轨的一小部分。去年10月，HackerOne还曾上线CVSS计算工具，在漏洞影响评级上正式支持历史悠久的CVSS（Common Vulnerability Scoring System，通用漏洞评分系统）标准。白帽子们使用工具，可以根据CVSS标准给自己的漏洞评估严重程度。

CVSS标准由安全组织FIRST管理。这个组织来头也很大，其主要成员是各国CERT和Google、Amazon、Apple等行业巨头，国内仅有华为、中兴两家是企业成员。CVSS是FIRST内部推行的漏洞评级标准，同时也开放给外部使用。

某种程度上，HackerOne向CWE、CVSS等行业通用标准靠拢，意味着它开始融入传统安全生态，变成其中的一环。五年前，行业内尚没有“安全众测”的概念，由HackerOne、BugCrowd、WooYun等公司创建和推动的这一模式，创造性地将攻防两方以一种良性关系结合起来，让企业能更早一步发现并规避风险。数年来，Adobe、Yahoo!、Uber、通用汽车等行业巨头先后入驻HackerOne，推出漏洞赏金计划。最令人意外的是，连美国国防部也加入其中发布众测需求，并且收获了不少高危风险反馈。

在国内，目前有360补天、漏洞盒子、Sobug三家进行漏洞通报或悬赏业务。这三家的漏洞分类评级规则是怎样的？嘶吼也去看了下：

360补天：漏洞类型有10种，影响等级有三档，具体规则为内部制定。
漏洞盒子：漏洞类型为内部制定，影响等级为CVSS标准。
Sobug：漏洞类型和影响等级均为站方制定。

可以看到，上述三家中只有一家的漏洞评级用了国际标准，其它均为内部制定。这可能与国内企业的安全团队较少与国际对话合作有关，企业内部没有相关要求，漏洞平台也很难有动力去迎合国际标准。