《財富》（中文版）——今年2月一個周五的下午,，大師級的安全研究員塔維斯·奧曼迪正在位于山景城谷歌公司總部里的辦公桌旁執(zhí)行一些日常的“模糊測試”,。這是一種普通的軟件代碼測試技術,，即以隨機數(shù)據(jù)轟擊軟件，讓缺陷暴露出來,。奧曼迪留著棕色的平頭,，臉上現(xiàn)出不安的微笑。他突然發(fā)現(xiàn),，數(shù)據(jù)集里有些東西不對勁,。他覺得奇怪。這不是普通的被污染的數(shù)據(jù),。他看到的,，不是預期的結果，而是一些異?，F(xiàn)象,，大塊大塊的內存被奇怪地占據(jù)。因此,，他進行了更深的挖掘,。

在收集到了足夠的信息后，奧曼迪叫他的安全研究員同伴過來,，讓他們站成一圈,，分享了他的發(fā)現(xiàn)。谷歌的這支團隊名叫“零工程”,。該團隊很快意識到他們發(fā)現(xiàn)了什么：大范圍的數(shù)據(jù)泄露,，來自于舊金山一家名叫Cloudflare的公司。在多數(shù)時間里,，這家公司的內容發(fā)送網絡在毫無差錯地處理著全球將近十分之一的互聯(lián)網流量,。但是，奧曼迪發(fā)現(xiàn),，該公司的服務器在向全網散發(fā)個人的私密數(shù)據(jù),。這些信息已經被泄漏了長達數(shù)月。

奧曼迪不認識Cloudflare公司的人,，他在猶豫,，周末馬上到來，要不要給Cloudflare的在線支持人員打這么一個陌生電話,。于是,，他想出了第二佳的做法：登錄推特，向他的數(shù)萬名粉絲發(fā)出請求：

Cloudflare的安全部門的人,，能不能緊急聯(lián)系我一下,？

時間是美國太平洋時間下午的5點11分。

奧曼迪懶得通過“@名字”的方式來提醒某公司的推特賬號，他沒有必要這么做,。他在信息安全專業(yè)人員中間名望很高,。在他發(fā)送推文后不到15分鐘，需要知道這條信息的所有人（當然還有很多不需要知道的人）就都看到了,。

在當?shù)貢r間凌晨1點26分,，倫敦。約翰·格雷厄姆-卡明被床邊的電話鈴聲吵醒,。Cloudflare的首席技術官揉了揉眼睛,，努力去抓響個不停的電話。沒有接到來電,。打電話的，是他的一位同事—這是少數(shù)格雷厄姆-卡明允許在半夜給他打電話的人之一,。他發(fā)了一條短信,，問發(fā)生了什么事情。

同事立刻給他回了短信：非常嚴重的安全問題,。格雷厄姆-卡明坐了起來,，驚慌地回復：我馬上就上網。

首席技術官起床,，下樓到地下室,，抓起一個“急救包”，這是他為出現(xiàn)這類情況而準備的,，里面有充電器,、耳機和幾塊電池。他啟動了自己的筆記本電腦,，快速進入與Cloudflare加利福尼亞總部同事共有的谷歌環(huán)聊群,。

安全團隊向他簡要匯報了形勢。谷歌的零工程團隊在Cloudflare的基礎架構里發(fā)現(xiàn)了一個漏洞,，一個嚴重的漏洞,。運行著包括美國聯(lián)邦調查局、納斯達克,、Reddit在內的超過600萬家網站的服務器出現(xiàn)了數(shù)據(jù)泄漏,，任何人都能夠進入Cloudflare支持的網站，在一定的環(huán)境下獲取Cloudflare網絡中另一家網站的用戶私密信息,，包括認證口令牌,、信息記錄程序、私人短信等,。Uber,、1Password、OKCupid、Fitbit等公司的網站都在其中,。

這些私密信息已經可以一覽無余,。更加糟糕的是，它們還會在搜索引擎和其他網絡爬蟲軟件的緩存中保存數(shù)月,。堵住漏洞并不能夠徹底解決問題,。

格雷厄姆-卡明說：“我將這比作石油泄漏。油輪身上的漏洞容易處理,，但是你還有很多海床要清理,。”

因此,，Cloudflare的工程師不得不行動起來,。安全主管馬克·羅杰斯領導了這次善后行動。羅杰斯在業(yè)余時間擔任了美國有線廣播網的電視劇《黑客軍團》的顧問,。不到一個小時,，安全團隊拿出了初步的緩解措施，通過更新程序,，堵住了全球各地的漏洞,。數(shù)小時后，技術人員成功地停止了導致錯誤的功能,。在奧曼迪發(fā)出那條推文后將近7小時,，Cloudflare的工程師成功地讓谷歌、微軟,、雅虎等幾大搜索引擎清除了網頁緩存,。

漫長的周末才剛剛開始。Cloudflare的工程師在余下的大部分時間里評估被泄露的數(shù)據(jù)量和類型,，以及擴散情況,。

Cloudflare以在安全問題上透明而著稱，谷歌的零工程團隊起初對Cloudflare安全團隊的快速反應印象深刻,。但是,，在協(xié)商如何公開披露被泄露的數(shù)據(jù)時，兩支團隊發(fā)生了爭吵,。雙方暫定,，最早于2月21日星期二那天發(fā)表聲明。到在那天快要過去的時候,，Cloudflare表示,，它需要更多的時間做清理。時間從星期二改到星期三,，又從星期三改到星期四,。到了此時,，谷歌不再動搖：雙方必須在星期四下午公布數(shù)據(jù)外泄細節(jié)，無論Cloudflare是否完成評估,，是否確定外泄數(shù)據(jù)已經從網頁緩存中刪除,。奧曼迪稱這次事件為“云出血”。

兩家公司在2月23日做了披露,。隨之而來的,，是互聯(lián)網上出現(xiàn)了持續(xù)一周的恐慌。

不用加入谷歌的零工程團隊,，你也能夠知道,，世界各地的網絡安全危機越來越嚴重。每家公司都成了科技公司,，黑客事件越來越普遍,，公司銀行賬戶的資金流失，個人信息被偷窺,，選舉遭人干涉,。一些頭條新聞令人震驚：超過10億個雅虎賬戶存在入侵風險；數(shù)千萬美元通過環(huán)球同業(yè)銀行金融電訊協(xié)會金融網絡被盜走,；無數(shù)來自于民主黨全國委員會的私人郵件在2016年美國總統(tǒng)大選期間被曝光。

據(jù)身份盜竊資源中心稱,，美國公司和政府機構在2016年報告的數(shù)據(jù)外泄事件比2015年多出了40%,，這還是一個保守的估計。與此同時,，由IBM公司資助,、研究集團Ponemon研究所進行的一項研究顯示，現(xiàn)在每次外泄給組織制造的平均費用達到了360萬美元,。

不管是程序員的失誤,，還是為某國效力的黑客造成的，數(shù)據(jù)外泄如今成為了新常態(tài),。企業(yè)高管已經達成共識,，一旦編代碼出現(xiàn)問題，較為經濟的做法是將它扼殺在萌芽狀態(tài),，不要讓它在未來變得更加嚴重或是制造混亂,。

但事情沒有那么簡單。太多的企業(yè)要么不重視安全問題,，要么把它看作是開發(fā)和按時交付產品的障礙,。CA Technologies在今年早些時候收購的應用安全企業(yè)Veracode稱，它調查了500位IT經理,，83%的人承認,，在發(fā)布代碼之前沒有進行漏洞檢測或解決安全問題。與此同時，安全行業(yè)面臨著人才短缺問題,。思科估計,，全球安全職位缺口達100萬。賽門鐵克公司預計,，到2019年,，缺口將達150萬。一些人估計,，到2021年,，缺口將達350萬。

即便一家企業(yè)有維持一支安全團隊的資金,、計劃和名聲,，也不能夠杜絕發(fā)送有缺陷的代碼。最好的質量保證流程和靈活的開發(fā)實踐也不可能捕捉到每一個漏洞,。

所以,，包括微軟、蘋果在內的眾多企業(yè)擁有內部安全研究團隊,，自查本公司的軟件,。但很少有團隊重視其他公司的軟件。這讓谷歌變得與眾不同,。奧曼迪等10多位王牌電腦破解者組成了谷歌的零工程團隊,，他們的管轄沒有邊界，任何東西只要觸網,，都在他們的關注范圍之內,。給網絡空間配備警察，不僅對個人有好處,，對于企業(yè)來說也是好事,。

谷歌于2014年正式組建了零工程團隊，但是這個團隊的起源還要再向前追溯5年,。大多數(shù)公司開始正視安全問題,，通常是在遭遇一起緊急事件之后。對于谷歌,，那個事件就是極光行動,。

2009年，某網絡間諜組織入侵了谷歌等科技巨頭,，突破了它們的服務器,，竊取知識產權，并試圖監(jiān)視它們的用戶,。這次劫掠惹怒了谷歌的高管,。

這一事件尤其驚動了谷歌的聯(lián)合創(chuàng)始人謝爾蓋·布林,。計算機取證機構和調查人員認定，公司被黑,，不是因為谷歌自己的軟件出了任何問題,，而是因為微軟的Internet Explorer 6瀏覽器的一個未修補漏洞造成的。他不明白,，為什么谷歌的安全要依賴于其他公司的產品,？

隨后幾個月，谷歌越來越強烈地要求競爭對手修復其軟件代碼中的漏洞,。谷歌和同行業(yè)公司的爭斗很快成為了坊間談資,。處于其中幾場爭斗中心的，不是別人,，正是漏洞獵手塔維斯·奧曼迪,。他因為以強硬方式修復漏洞而出名。（奧曼迪拒絕為本文發(fā)表評論,。）

例如,，在極光行動公開后不久，奧曼迪披露了他幾個月前在微軟的Windows操作系統(tǒng)中發(fā)現(xiàn)的一個漏洞,，攻擊者可以利用它操縱他人的電腦,。奧曼迪等了7個月，仍未看到微軟發(fā)布補丁,，于是他決定親自出馬,。2010年1月，奧曼迪在一個“全面披露”的郵件列表中發(fā)布了這個漏洞的詳細信息,，安全研究人員通過這個列表告知同行軟件的新弱點和攻擊方法。他的想法是：如果微軟不打算按時解決問題,，外人至少可以了解情況,，他們可以制定自己的解決方案。幾個月后,，他對影響到甲骨文公司的Java軟件的一個漏洞以及另一個Windows的重大缺陷做了同樣的事情,。他在向微軟報告這個缺陷5天后就采取了行動。

有些人對這樣的做法不滿意,，他們譴責了奧曼迪的行動,，聲稱這給他人的安全造成了危害。（蘋果,、微軟和甲骨文不愿就此事發(fā)表評論,。）在一篇公司博文中，威瑞森的兩位安全專家批評選擇全面披露的研究員“自戀,，強行給軟件弱點拉皮條”,。奧曼迪不理會這些炮轟,。2013年，他再次在微軟修復一個Windows漏洞之前就將之公開,。他的理由是,，研究人員不威脅公開，公司就幾乎沒有按時修復缺陷的壓力,，它們會一直讓缺陷存在下去,，讓所有人面臨風險。

2014年,，谷歌悄然開始正式組建零工程團隊,。[團隊的名稱暗指“零日”弱點，專業(yè)安全人員用這個術語來描述從前不知道的,、公司沒有時間（也就是“零日”）準備應對的安全漏洞,。]公司制定了一套協(xié)議，讓前Chrome瀏覽器的安全主管克里斯·埃文斯（Chris Evans,，和扮演美國隊長的同名演員沒有關系）負總責,。埃文斯隨后招募了谷歌員工和其他人員加入團隊。

埃文斯簽下了伊恩·比爾,，他是英國人,，在瑞士從事安全研究員工作，對尋找蘋果的代碼錯誤表現(xiàn)出強烈的興趣,；他引入了奧曼迪,，來自于英國的大塊頭，因為與微軟的高調沖突而成名,；他還招募了新西蘭人本·霍克斯,，人們都知道其曾經解決Adobe Flash和微軟Office辦公軟件的漏洞；他還請來了少年老成的喬治·霍茨做實習生,?；舸脑诋斈暝缧r候的一次黑客競賽中攻破了谷歌的Chrome瀏覽器，獲得了15萬美元獎金,。（《財富》雜志多次請求零工程團隊的成員就本文接受采訪,，均遭拒絕。）

零工程團隊成立的第一個跡象出現(xiàn)在2014年4月,，蘋果在一封短信中,，指出谷歌的一位研究人員發(fā)現(xiàn)了一個漏洞。有這個漏洞,，黑客可以控制運行蘋果Safari網頁瀏覽器的軟件,。短信對“谷歌零工程的伊恩·比爾”表示感謝。

在推特上,，信息安全界對這個秘密團隊大感驚奇,。位于紐約的網絡安全顧問公司Trail of Bits的聯(lián)合創(chuàng)始人及首席執(zhí)行官丹·吉多在2014年4月24日發(fā)推文問道：“谷歌零工程是什么,？”時任美國公民自由聯(lián)盟的首席技術員克里斯·索格伊安強調：“最新蘋果安全日志感謝了神秘的‘谷歌零工程’的員工?！?/p>

更多的功績很快出現(xiàn),。5月，蘋果將OS X操作系統(tǒng)幾個漏洞的發(fā)現(xiàn)歸功于比爾,。在一個月后,，微軟修復了一個有可能破壞其惡意軟件保護能力的漏洞，特別指出“谷歌零工程的塔維斯·奧曼迪”在一份報告中提供了幫助,。

到那時,，該團隊已經在研究安全問題的人當中引起了不小的反響。埃文斯終于在公司網站的一篇博文中正式確認了團隊的存在,。他寫道：“我們在使用網絡時,，不應該擔心犯罪分子或一國支持的攻擊者利用軟件漏洞，感染電腦,，盜取機密或是監(jiān)視你的通信,。”他提出,，網絡間諜活動“必須停止”,。

一年前，埃文斯離開了團隊,，加盟特斯拉公司,，目前在漏洞懸賞新創(chuàng)企業(yè)HackerOne擔任顧問。（零工程當前的主管是霍克斯）如今,，說到團隊的起源,，埃文斯更加謹慎。他說：“多年午餐時間的對話,，對攻擊演化的多年觀察,，為零工程的成立奠定了基礎。我們想設立幾個崗位,，專門關注頂級的防御研究，將世界最佳人才吸引到這一公開研究領域,?！?/p>

谷歌面臨的挑戰(zhàn)比看上去更大。私人資金吸引了世界上很多最出色的黑客,，他們在密室里研究,，政府和其他機構通過中介，高價購買他們的成果,。埃文斯說,，如果這類研究不能被公諸于世,，人類就要受苦。

自從谷歌零工程正式成立三年后,，這支精英黑客小分隊已經號稱是全球最有成效的計算機漏洞終結者,。盡管普通的消費者不太可能認識他們當中的任何人，比如詹姆斯·福肖,、納塔莉·西爾瓦諾維奇,、蓋爾·貝尼亞米尼，但世界欠他們一個感激,，是他們保護了我們用來享受數(shù)字生活的設備和服務,。他們改進了其他公司的很多產品，包括發(fā)現(xiàn)和幫助修復了1,000多個操作系統(tǒng),、反病毒軟件,、口令管理器、開源代碼庫等軟件的安全漏洞,。到目前為止,，零工程團隊發(fā)布了超過70篇博文，部分文章是現(xiàn)在網上能夠找到的最好的安全研究公開報告,。

團隊的工作令谷歌的主業(yè)在線廣告間接獲益,。保護互聯(lián)網用戶免受威脅，也就保護了公司為用戶做廣告提供服務的能力,。零工程團隊努力把軟件供應商放在火上烤,，迫使它們修復導致谷歌產品崩潰的漏洞。

網絡安全企業(yè)家迪諾·戴·佐維說：“它的名字有些奇怪,，但它像一條牧羊犬,。牧羊犬不是狼，它心地善良,，但還是會把羊驅趕成隊伍,，把它們帶回羊圈?！弊艟S曾經是著名的蘋果黑客和Square公司的前移動安全主管,。

今年4月，零工程團隊的三名成員前往邁阿密,，出席“侵入”安全會議,。這一會議只關注黑客攻擊。

在一個靠曬太陽和賽車繁榮的城市,，這三位看上去有些不協(xié)調,。他們是霍克斯、奧曼迪和托瑪斯·杜林（,。杜林是德國的安全研究員,，零工程團隊成員,，人們更熟悉他的黑客名字“哈爾瓦·弗拉克”。他們聚集在豪華酒店楓丹白露的草坪上,，在沙沙作響的棕櫚樹下品嘗著莫吉托雞尾酒,。這些谷歌員工與幾位其他與會者坐在桌子旁，聊起了時事,、最喜歡的科幻故事,。他們說，對黑客歷史的記錄做得不夠,，這實在是一件很遺憾的事情,。

其間，奧曼迪觸碰到了摩根·馬奎斯-布瓦爾放在桌子上的一副范思哲墨鏡,。馬奎斯-布瓦爾是前谷歌員工,，知名的惡意軟件研究人員，目前擔任eBay創(chuàng)始人彼埃爾·奧米迪亞爾的媒體風投企業(yè)First Look Media的安全主管,。佛羅里達的太陽已經下山,，但奧曼迪把墨鏡放在臉上扮怪相，顯得有點傻,。

“侵入”會議的組織者戴夫·艾特爾抽出手機,，對他拍照。奧曼迪以雙手擺出重金屬樂迷的“金屬禮”手勢,?？纯此S斯·奧曼迪的尊容：在線上，他是一位喜歡爭吵和批評的人,，眼里容不得傻瓜,；在線下，卻是一位喜歡到處耍寶的,、和藹可親的極客,。艾特爾曾經在美國國家安全局當過黑客，現(xiàn)在經營一家進攻型黑客技術商店Immunity,。

艾特爾說：“對你的吐槽很多,。你其實可以不這樣的?！彼傅氖菉W曼迪在催促供應商修復漏洞時必須經歷的令人不爽的吵鬧,。面帶頑皮的微笑，艾特爾開玩笑地勸說奧曼迪轉到黑客技術的“陰暗面”,，即找到漏洞并出售牟利，而不是報告給受影響的公司,，使這些漏洞失效,。

奧曼迪沒有理睬艾特爾的提議,，笑了笑，然后把墨鏡放回到桌子上,。他也許制造了麻煩,，但他的目標是純潔的。（奧曼迪允許筆者待在他身邊,，但拒絕發(fā)表評論,。）

盡管有著清白的聲譽，但當高尚思想和復雜的現(xiàn)實世界相抵觸時,，零工程團隊也不得不靈活對待,。團隊最初奉行嚴格的90天披露期限，如果漏洞“已被積極利用”,，則為7天,。但是有幾次，團隊搶在有關公司計劃發(fā)布更新的日子（比如微軟和它每月定期的“補丁日”）之前做了披露,，招致了很多反感,。（后來，如果相關公司有現(xiàn)成的補丁,，團隊就會在90天期滿后再延長14天,。）

凱蒂·穆蘇里表示，零工程的披露政策在科技行業(yè)里最為明確,。她認為這是一件好事情,。很多公司沒有報告漏洞的方針，或是沒有規(guī)定研究人員公開披露的方式和時機,。有些組織要求的修復軟件的時間甚至更短,。來自于卡內基梅隆大學的機構Cert CC對外宣布的期限是45天，只有零工程團隊的一半,，但對個案,，卻有更大的通融余地。穆蘇里曾經幫助制定微軟的披露政策,，現(xiàn)在經營著自己的漏洞懸賞機構Luta Security,。

企業(yè)若對漏洞反應遲緩，零工程團隊會提出批評,，如果采取行動修復漏洞,，它同樣很快予以表揚。今年早些時候,，奧曼迪發(fā)推文說,，他和同事納塔莉·西爾瓦諾維奇“發(fā)現(xiàn)了近來最厲害的Windows遠程代碼執(zhí)行”，這意味著，有辦法遠程接管基于Windows的系統(tǒng),。他說：“情況太糟糕,。”兩人與微軟合作修補漏洞,。奧曼迪隨后又發(fā)推文說：“@msftsecurity快速采取行動保護用戶,，現(xiàn)在還讓我吃驚，怎么稱贊都不為過,。棒極了,。”顯然,，亡羊補牢永遠為時不晚,。

零工程團隊發(fā)現(xiàn)漏洞不留情面，也許會讓科技公司感到厭煩,，但是它們應該感到欣慰,，一些研究人員忍不住想把研究結果出售牟利，而零工程團隊卻能夠自覺抑制這樣的沖動,。在黑客技術職業(yè)化以來的這些年,，零工程披露的漏洞已經有了市場。政府,、情報機構,、犯罪分子都愿意出高價買下這些漏洞。另一方面,，軟件公司越來越多地采取漏洞懸賞計劃,，為研究人員花費的時間、精力和利用的專業(yè)知識埋單,。但是,，公司的獎勵永遠比不上黑市能夠提供的報酬。

IBM高管,、知名安全大師布魯斯·施奈爾說：“不管谷歌能夠拿出多少獎金,，外國政府都會支付更高的報酬?！?/p>

在楓丹白露酒店,，杜林告訴我，他對黑客技能變得如此搶手感到驚訝,。曾經在昏暗地下室里搞的業(yè)余愛好如今卻是政府大樓里堂堂正正的職業(yè),。

他說：“黑客就跟嘻哈、霹靂舞,、滑板或者涂鴉一樣,，是20世紀90年代的亞文化,。后來軍方覺得有用，就成了現(xiàn)在這樣了,?！?/p>

據(jù)Cloudflare的聯(lián)合創(chuàng)始人及首席執(zhí)行官馬修·普林斯透露，谷歌的頂級漏洞獵手發(fā)現(xiàn)的數(shù)據(jù)外泄一開始讓公司一個月沒有增長,。（但他說，這是一時的挫折,，Cloudflare在此過程中保持透明度,，讓它吸引到了新的業(yè)務。）

這次經歷或許讓普林斯感到痛苦,，但他并沒有表露出來,。他知道，如果公司被真正懷有惡意的黑客盯上了,，會是什么樣子,。幾年前，一個名叫“UGNazi”的黑客組織入侵了普林斯個人的Gmail賬戶,，用它控制了他的公司郵箱,，然后劫走了Cloudflare的基礎架構。這些惡棍本來可以造成巨大傷害,，但他們只是將一個普通的黑客網站4chan.org重新指向了他們個人的推特檔案,，為的是做廣告。

普林斯仍然在后悔,，沒有能夠在和谷歌共同發(fā)布初期調查結果之前,，將這次云出血的完整信息通知客戶。他希望,，他的公司能夠在用戶讀到有關數(shù)據(jù)外泄的新聞報道之前就通知他們,。即便如此，普林斯認為,，零工程團隊確定的披露時機是正確的,。據(jù)他所說，沒有用戶發(fā)現(xiàn)任何與此次信息泄露相關的重大損失,。也沒有像他們一開始擔心的那樣,，有密碼、信用卡卡號或醫(yī)療記錄被曝光,。

普林斯說,，為防止類似事件再次發(fā)生，Cloudflare實施了新的措施,。公司開始檢查所有代碼,，并聘請外部測試人員復查,。它還制定了更為復雜的系統(tǒng)，用以識別常見的軟件崩潰,。軟件崩潰常常表明存在著漏洞,。

說到這次數(shù)據(jù)外泄的發(fā)現(xiàn)與后果，普林斯表示：“這14天讓我的頭發(fā)更加花白,，壽命也要減少一年,。但是謝天謝地，是奧曼迪和他的團隊而不是某些瘋狂的黑客發(fā)現(xiàn)了這個漏洞,?！?/p>

當然，普林斯永遠無法排除某些人或組織拿到了泄露數(shù)據(jù)的副本的可能性,。零工程團隊也是這個想法,。對團隊的每一位成員來說，這個世界有著數(shù)不清的,、目的不那么高尚的研究人員在秘密工作,。魔鬼就在那里，無論你是否了解,。（財富中文網）

譯者：穆淑

谷歌的零工程團隊一夜成名

塔維斯·奧曼迪谷歌研究人員谷歌的零工程黑客團隊成員,，在互聯(lián)網上搜索問題軟件。

約翰·格雷厄姆-卡明Cloudflare公司首席技術官舊金山一家公司的高管,，該公司管理的網絡支持著相當多公司的網上運營,。

Luta Security公司首席執(zhí)行官凱蒂·穆蘇里解釋軟件漏洞經濟

漏洞有兩種市場：攻擊和防御。前者包括民族國家,、有組織犯罪團伙和其他攻擊者,。后者包括漏洞懸賞計劃和銷售安全產品的公司。攻擊市場支付的價格更高,，上不封頂,。他們不只購買弱點或攻擊機會，還要購買在不被發(fā)現(xiàn)的情況下利用弱點的能力,。他們購買的是讓一切靜悄悄地發(fā)生,。防御市場給不了這么多錢，不能像軟件開發(fā)商那樣,，給頂級開發(fā)人員支付100萬美元年薪,。盡管大公司的代碼質量在不斷改善，可代碼也變得越來越復雜,，這意味著會出現(xiàn)更多的漏洞,。對于某個特定的漏洞，安全研究人員會做些什么,，取決于他們的財務需求,、他們對某款軟件或供應商的看法和他們面臨的人身風險,。黑帽黑客與白帽黑客，不一定分得那么清楚,。（財富中文網）

—采訪：Robert Hackett

谷歌的零工程團隊安全：

術語表

漏洞

計算機代碼的意外錯誤,。

能夠導致安全問題的漏洞被稱為“弱點”。

零日弱點

人和電腦沒有時間（零日）

修復的弱點,。

利用

黑客制作的,、利用一個已知弱點的計算機程序。