拥抱白帽黑客，通用宣布安全漏洞报告项目

今年的 1 月 5 日，通用汽车与 HackerOne 合作，低调宣布了首个公共安全漏洞报告项目。通用的首席网络安全官 Jeff Massimilla 告诉 Ars Technica 网站，这是通用与外部安全研究员建立关系的第一步，能够让通用更快地发现和处理安全漏洞。

“我们很重视第三方的安全研究。” Massimilla 说。他解释说，只要第三方遵循通用发布的规则，那么，当他们发布安全漏洞后，就能够得到通用的合作而不是法律制裁。此项目的重要部分是与 HackerOne 的合作。Massimilla 承认说，在与外部安全人员合作方面，通用并没有多少经验，HackerOne 起到了一个沟通协调的作用。

与特斯拉的漏洞奖励项目相比，通用的新项目不够完善和全面，不过，安全宣传机构 I Am The Cavalry 的 Joshua Corman 认为，这是通用迈出的一大步。“这是首个漏洞报告项目。如果其它汽车制造商开始效仿，那么，这将真正促进他们安全措施的成熟。”

目前，许多汽车制造商都有自己的漏洞报告项目，涉及到内部员工和有合约的安全研究员，而独立安全研究员通常不会把发现的漏洞反馈给厂商，因为他们害怕公司采取法律手段。对于汽车厂商来说，安全漏洞也是一个头疼的问题， 涉及到许多的合作商，而且，有些安全漏洞是很难弥补的。

2014 年开始，通用就开始构建公司内部的安全团队，以应对日益增多的网络安全问题。Massimilla 说，新的安全措施将会影响到通用安全系统的构建。“在安全系统的设计上，我们采取了分层的方法。这样的话，我们能够更好地理解系统的内部状况，并且不断对其进行更新。”

同时，通用还加入了汽车行业新成立的 Auto ISAC（汽车信息共享咨询中心）。这是汽车制造商联盟旗下的网络安全信息分享和分析中心。Massimilla 是 ISAC 的副董事长。“ISAC 的意义在于，汽车制造商聚集到一起，分享网络安全方面的信息，然后采取预防性的、跨行业的安全措施，以应对这些问题。” 他说。

图片来自 Wired