沙发一个

忘记说了，其实乌云压力也很大，但是还是很高兴能坚持到现在，谢谢各位（不是醉话）

前排

xian jiang li wo 500w zai shuo! ok?

放心好了乌云君珍惜小伙伴儿的成果，不会靠某些人说的卖漏洞赚钱的。

顶起。。。。支持剑心

作为一个默默关注乌云好多年的闷骚骚年要猥琐地告诉你，清者自清~~走我们的路，让他们说去吧。有些时候的流言蜚语没必要在意。梦想总会招来流言蜚语。。。。
然后，个人觉得第4点没必要建立。
完毕。

支持乌云 ; )

乌云改变了一个行业，也给了一个想搞安全的人一个学习的地方，加油呀

支持乌云 :)

支持乌云 :)

小顿我爱你 我要给你生孩子~

喵叽~

@小威 我的等着看你们的娃

follow your heart

支持一下。这样一个平台和社区能开下来也是不容易的。

坚持，

@小威 。。。

支持乌云

剑心mm加油ing

支持

@xsser (由于事情比较多相反我上网反而会比较少)不用相反把。。

必须支持。

又是一个500w

乌云是靠什么收入？

@寂寞的瘦子 不是 是碰巧最近一直在外面

@雷锋 目前有cncert和广测有支持（你看首页下面有两个链接） 另外通用漏洞奖励是由www.wooyun.org/prize 下面的厂商支持的 众测完全是直接当个皮条 奖励转给白帽子

@xsser 我就在广测啦、、、、、、、、

哪来的这么多钱....

支持，不管怎么样，乌云对国内白帽和厂商都做出了不可磨灭的贡献

@TellYouThat 如果我们无法兑现我们的奖励，我们愿意将乌云进行关闭

支持剑心！！！

@xsser 我觉得 必须将造谣的人进行诉诸法律

就等你出来辟谣了。 ：） 期待ing运营委员会

支持乌云

@xsser @疯狗
在乌云，把门关上吧一帖中，我想表达的意思其实是：
安全是个比较神秘而且从某种程度上讲也应该保持神秘的领域，对于圈外人而言，神秘不可避免地会带来误解，在这个时候，圈内人该做什么？
1.公开漏洞发布流程，建立漏洞发布规范
说细点，包括漏洞合法性、漏洞发布过程中的隐私保护、语言规范等等。
2.对位于黑白边界性的内容进行完全封闭
这就是我所说的“应该保持神秘”的部分，圈外人不需要了解，圈内人也不需要解释。

剑心不哭，天佑乌云，乌云加油。

我不觉得沉默可不是最好的反击···
我觉得如果那篇痛批乌云网的文章有造谣的成份，可以追究法律责任了把。
对于外行人来看，我们是疯子，我们像是恐怖分子。
我看到媒体一直都不看好乌云网，可是，有脑子的都想想看，乌云里排名靠前的白帽子
能力都是大众认同的，一哥二哥还有猪猪侠等等···又有几个是去当黑帽子，去贩卖信息， 去盗窃数据了呢？
真不明白为什么都把黑客当坏人看？

现在流行“我们将投入500w进行奖励”
。。。支持乌云！

支持乌云！

支持乌云 :)

支持乌云 :)

@xsser 因为白帽子本身不合法所以自然会有争议，没有法律保障，其实都没有用

支持辟谣，维护白帽权利和声誉！

国内著名白帽子“剑心”东莞嫖娼被抓！！

我解释下第三点。这次猪猪侠披露携程的漏洞，给携程带来了各方面的影响。一些竞争对手的利用，给很多携程用户造成了不必要的恐慌。所以我觉得现在应该考虑下部分机制是否应该改进。比如对于乌云方面和厂商方面对这种大漏洞的协调处理机制，白帽子提交敏感漏洞时应该注意的问题等。欢迎各位基友讨论。

我来开个头。比如我认为乌云可以在提交漏洞处设立“紧急通道”，白帽子可以将认为可能造成严重影响的漏洞投入紧急通道，紧急通道内的漏洞暂不对外透露任何信息，第一时间联系厂商修复，待修复完毕后，再向白帽子和公众公开。这样对厂商和乌云来说都会更为主动。

@3King 谢谢支持 所以第三点也是我说的流程改进问题 大家有建议也欢迎提

总之，乌云的目标是尽可能平衡用户、厂商、白帽子这三者之间的利益。

小顿不哭，站起来撸！

mark.

淫者见淫，基者见基。
辛苦了！

支持

@xsser  其实有一个问题一直没说，漏洞涉及到GOV的时候，往往CNVD向相关单位通报后，漏洞无法进行及时修复，（GOV的办事效率你们懂的）类似于通用型漏洞，所涉及单位众多时，并不是所有的单位都有能力，或者能将漏洞做及时修复，这就导致了漏洞公开后，未做修复的站点遭毒手，一旦有GOV站点因为乌云漏洞的公开而遭到攻击，乌云和白帽子们难免惹来麻烦，尤其是在习大大上台以后，部里面屡次下文，要求加强GOV站点的安全检查和管理力度，说的有点多了，我主要是想表达，虽然乌云有乌云的制度，但是，我个人觉得，涉及到GOV的漏洞，是否可以考虑特殊对待？延迟下公开时间？其实这么说，还有一个私人原因，就是白帽子在提交GOV的漏洞后，如果该问题未做修复，而导致站点被攻击，提交漏洞的作者，肯定会成为第一嫌疑人，惹来不必要的麻烦。

3月初吧，因为之前提交过一个GOV的漏洞，公开后，造成了影响，惹来了一些报社媒体，差点弄的一发不可收拾，自己也险些栽跟头，当时也是因为漏洞在未做修复的时候，公开了，而作为提交漏洞的人，被人抓了把柄，把乌云的截图当做了入侵证据，在提交时，为了证明严重性，我也做了数据截图，一口咬定这是非授权的攻击行为，说我脱裤了，然后要立案，但是最后因为我之前上报过他们单位，他们未做理睬，而我这边又有其他单位做证明，所以此事才能平息。。。但是不是每次都能这么侥幸的，我想我们很多做等保测评的同行们，估计都担心过这些问题吧。

虽然通报后，未做修复，是他们的责任，但是，GOV的一贯作风就是踢皮球，办好事不会，推卸责任就很专业了。

顶500w

支持乌云 :)

所谓大洞的披露难免会遭到媒体、竞争对手的（恶意）加工，有时候你看那些报道，真是让人哭笑不得；不过从长远看，这也是个好事情，这几天看看微博微信知乎，到处都在讨论信用卡、安全标准。作为普通用户开始关心互联网上我的信息是不是安全了，我把我的个人信息提交到你这个站是不是能够保障了，无形中提升了公民的安全意识，这都是进步。这些都是乌云存在的意义--你说这样还不够？

@鬼魅羊羔

gov的办事，你懂的。哈哈

支持乌云，顶500w！

顶起。。。。支持剑心

@xsser 你喝酒了么！来摇摆起来……

支持乌云，顶剑心！！

@xsser 支持乌云，现在上乌云已经成了一种习惯，因为这是一个很好的学习平台，能够看到众多大牛的精彩文章，了解一些新的漏洞。
    同时也希望某些媒体不要再刻意渲染，来把乌云的名声抹黑，乌云在外界人的眼里都被这些谣言蒙蔽了，但是清者自清，一定要顶住压力。

乌云君加油

支持乌云!

@3King 任何漏洞都是第一时间通知厂商的。等修复周期过了才逐步公开的

支持乌云，顶剑心！！

@xsser 建议增加功能“私密漏洞”，在厂商和白帽同意下%整个漏洞不公开%仅显示漏洞大类和白帽子名称

@肉肉 紧急通道可以在此基础上更快。比如电话、短信通知之类的。不仅仅局限于邮件。

@鬼魅羊羔 让你搞gov。。。
上乌云已经是一种习惯了，顶乌云君

剑心，我要给你生孩子！！！本来就很在乎乌云的。要不然当初就去混360了。。。就因为你乌云是第三方平台，才来的。希望乌云不要变成gov的那什么。。你懂的。。

@xsser @疯狗 乌云君挺住，白帽们与wooyun同在~

支持乌云~

小顿不哭，站起来撸！

建议以后不要去摸老虎的屁股了吧，它吼一吼，我们都要抖三抖。

已感谢~  乌云最近发生太多事了 .. 社会也发生太多事了 ..  一切都会好起来的嘛！

我觉得如果没有乌云，可能中国的网络环境会更差，支持乌云，支持白帽，别人的说法，忘了吧

@鬼魅羊羔 收到 会仔细考虑政府的问题

500W。。。。

请我当管委会吧

@3King 这样只会纵容厂商在信息安全上的懈怠，之所以屡次出现类似于携程这样的事件，就是因为缺乏监督，厂商无需为信息安全事故负责，用户的信息安全完全是靠厂商的自觉性，您觉得靠谱么？ 携程此次确实受到了很大影响，但究其原因还是携程违背相关规定违规保存敏感信息，对用户信息安全投入欠缺，且从相关新闻可以看出造成此漏洞的原因也可能是个很低级的运维问题，只是希望携程能吸取教训，其他厂商也能从此事上进行一下反思。

可怜携程？谁可怜可怜在n次信息安全事故中隐私遭到泄漏的用户？

顶！

是不是有人想把乌云监管起来

乌云确实对国内网络安全做出了不可磨灭的贡献

@%22 你误解我的意思了，我并没替携程说好话。我的意思是，下次再出现这种影响大的漏洞时，是不是应该考虑下更好的处理流程，以此来更好地平衡用户、厂商、白帽三方的利益，和进一步稳固我们的立足点。我们既需要用户的支持，也不能完全忽略厂商的感受。如果能进一步推进三者共赢，不是更好么？

@%22 我们是一个中立的平台，既不能完全靠向用户，也不能被厂商左右，同时还不能被舆论利用。我们要走的路还很长，部分机制的优化或许也是偶然中的必然。您觉得呢？

@3King 每次出问题基本上都是相当来说还比较大的厂商，所以造成的影响会比较大。我觉得增加紧急通道靠谱，而且还应该设立紧急通道通知级别。有些厂商可能你紧急通知了人家也不会理睬。所以对紧急通知的厂商做出应急响应级别评价，然后反馈给白帽子们这样也可以从某种程度上保护白帽子，厂商也可以得到更好的保护。对于已经紧急通知过很多次的厂商如果还是不予理睬，那以后就可以不用管这些厂商。我想他们迟早会为自己公司的安全买单的……

支持乌云 :)

@3King @xsser 如果因为漏洞大,就为厂商另开一扇窗,我相信厂商们不会更主动的.而是相反

@xsser 政府通用漏洞有奖励吗？

但是还是要跟着大环境走,总之乌云挺住

@%22 @冷静 @hkAssassin 我只是开个头，欢迎各位基友继续讨论，让我们一起为乌云的发展继续努力  :-)

我始皇来说两句，乌云实实在在的讲对国家信息安全作出了很大的贡献，我看功劳不亚于CNVD和中测，所以我认为媒体对乌云的了解是片面的，有些武断的报道，我觉你们运维人员应该邀请圈内的知名人士或者律师出来澄清一下

我觉得乌云坚持就是胜利 难免会有误解和困难难  乌云挺住

我还有个建议，对于未认领的漏洞建议不要公开了

@酷帥王子 @xsser 建议参考。

@xsser 什么时候把发帖权限，弄上。

@酷帥王子 但是有一点，这样会不会有厂商故意不来认领呢?

那种肯定有故意不来领取的，但是不来领取就不要公开了，出了事与乌云就没有责任了

@酷帥王子 这样的话就木有督促作用了，如果我是厂商，为了我的漏洞不被公开，我肯定选择不认领，毕竟厂商的目的就是不公开漏洞诶

@肉肉 肉肉一看你都不是好厂商……哈哈……

@hkAssassin 我不是厂商诶，不过好厂商确实不多=。=

媒体报道，断章取义，随便截几个1年前的图，就够喝一壶了；

支持

支持剑心！！！

@肉肉 你以后要是开公司记嘚要做个好老板啊 哈哈

乌云加油！

支持乌云,乌云加油！

@俺是农村的 在检查了 领主应该有的

支持xsser，如果拥有大量客户群的大公司大企业都不对自己的用户负责，那还有什么口碑信誉而言。

一如既往的支持乌云，这里是我成长的舞台！

挥挥手，送走厂商和妹子！

500w

支持

支持乌云，每天上乌云已成为俺生活中的一部分。

支持乌云

乌云是第一座在厂商与安全人员的桥梁。
.gov的漏洞建议与cncert合作商量一个解决的方案。可以商量那些部门的可以通过，那些不可以。不能因为不修复再直接公开了。不然很容易掉河里面去

默默支持

支持 今天乌云一天都上不来我几乎不知道还能上网干嘛了

剑总，如果乌云不幸真的关闭了， 那时候还是会有其他类似乌云的网站出现的 ..

有句话是你站住了立场，你就成为了立场

乌云的成功总会让一些人感到不安，不过，支持乌云！！！！！！！！！！！！！

最后一句话没看懂啊？是悬赏500W奖励举报者还是傻

支持

话说有木有强制措施，比如能否推动某个gov部门比如国安委参与，形成问责机制，有白帽子提交漏洞过后，不理的话就有板子打到漏洞方屁屁上，那个时候就好办鸟。

超出我们对外公开的流程之外未经企业授权的行为，我们将投入500w进行奖励（单个奖励可以到达5-10w人民币）

这句话没读懂 投入500W是做什么的

很高兴乌云里面的童鞋都是理智的，赞一个。

@s3xy @Rookie @px1624 xxx公司高危漏洞可xxx，经过我们确认此漏洞属于测试阶段代码影响范围小，xxx将投入500w作为xxx奖励，并给漏洞发现者奖励n万。xxx支付漏洞，经确认属XXX测试问题，影响不大，我们将投入500w....

支持乌云

支持乌云。好平台。

支持乌云 :)

@xsser
这是怎么回事啊？

剑心不哭，站起来撸！
gov确实比较讨厌，就gov网站本身而言，管理比较不规范，
处理也不及时，
建议gov和非gov可以走两种流程

@lucky 老大你泡那里去了 联系你Q也不回复

@appeal 你认错人了吧

支持乌云君

@xsser
1 漏洞报告平台坚持非盈利性的运营

看到这句 我说句 “呵呵”

@Zvall 目前的确是这么运作的 没有任何对企业收费行为 有一些cert和通用漏洞奖励支持 ：）

希望乌云长久存在 貌似这里是唯一的 不错的漏洞信息共享平台
应该应对不同的对象 采取不同的流程
推荐引入政府等第三方 监管 合作 使乌云的异常信息或者漏洞 更有威慑力

顶一个

大家都在@剑心  我也来一个@xsser

听说我不能发帖 我特意上来看一下。。。。@xsser @剑心 @肉肉

支持乌云

支持乌云