另类数字资产：软件漏洞(Bug or Vulnerability)

作者：徐鹤军

我们正处在互联网时代，计算机和各种信息系统深刻的影响我们的生活的方方面面，可以毫不夸地说我们已经离不开计算机及其运行各类应用的软件系统。但是不断暴露的软件漏洞却是互联网时代挥之不去的乌云，不时给人们带来或大或小的麻烦和损害。特别是由于软件漏洞导致的用户关键数据的丢失导致的一系列网络和电信诈骗，更是当前社会的一大毒瘤。

但是不幸的是，信息系统的漏洞，是信息系统从研究开发一开始就存在的。漏洞（Vulnerability）又叫脆弱性，这一概念早在1947 年冯. 诺依曼建立计算机系统结构理论时就有涉及，他认为计算机的发展和自然生命有相似性，一个计算机系统也有天生的类似基因的缺陷，也可能在使用和发展过程中产生意想不到的问题。信息安全漏洞是信息技术，信息产品和信息系统在需求，设计，实现，配置，运行的过程中，有意或者无意产生的脆弱性，这些脆弱性以不同形式存在于信息系统各个层次和环节中，能够被恶意主题所利用，从而影响信息系统及其服务的正常运行。

当前世界信息安全界对于如何预防信息安全漏洞导致的严重后果已经达成了共识，就是在加强公司内部软件测试的基础上以奖金的形式鼓励白帽黑客参与到信息系统安全漏洞的挖掘和公布，而不是刻意去掩盖或者像是埋进黄沙的骆驼一样视而不见。成功的案例就如HackerOne公司帮助企业建立网络安全反馈中心，给不同安全等级的提交漏洞给予不同的奖金，这样可以吸引更多的白帽黑客为企业挖掘他们系统的安全漏洞并且尽快提交给企业，让企业在该漏洞导致发生严重安全事件前被修复。

HackerOne公司为行业提供了一个非常成功的样本，这是一个集中式安全应急中心。但是这种模式还是只是解决一部分问题。这里没彻底解决如何公平评估白帽所提交漏洞威胁等级，如何公平评估漏洞所应该的奖金。如果奖金的金额不足以反应白帽黑客的劳动付出，一样不能起到相关的作用。

从另一个角度，我们会发现软件漏洞与比特币有非常相似的特点。第一，与比特币类似，软件漏洞也是由不同的参与者各自独立挖掘出来的，也就是具有天然的去中心化。第二，软件漏洞只存在信息系统中，而不是现实世界中某个事物的数字凭证，也就是说具有完全数字化。第三，一个软件漏洞的发现，修复，公布以及威胁等级的评估和奖金的估算都应该在公开，公平的多方同时监管情况下才能得到解决，分布式协助和监管至关重要。其实以太坊社区在经历了DAO攻击后也已经建立起相关的安全漏洞赏金计划。

通过上面的分析，我们会惊奇的发现，信息系统漏洞（软件漏洞）具有与比特币相同的特点，所以是非常适用于区块链技术来支持的另类数字资产。在这个漏洞赏金区块链中，无数的安全白帽黑客是漏洞资产的矿工，他们对所有信息系统进行漏洞挖掘，再将所发现漏洞的证据提交到区块链，相关的评级机构将对这些漏洞提供漏洞验证，威胁等级评估和赏金估算。这些评估工作也会被不同的参与者分担。最终漏洞将会被标价，被企业回购和修复，就像比特币一样被交易。所有的过程都可以被记录到区块链上，保障整个过程公开公平。区块链技术是唯一能够保证该多方参与项目公平执行的唯一技术平台。

来自于黑客世界的区块链技术还是最适合为白帽黑客服务。