一開(kāi)始見(jiàn)到“威客眾測”這個(gè)產(chǎn)品時(shí)，我以為它和36氪之前報道過(guò)的Bugcrowd、烏云眾測是一樣的：用眾包模式為企業(yè)客戶(hù)尋找漏洞，簡(jiǎn)單點(diǎn)說(shuō)，就是在社區里聚集一群白帽子，讓這些白帽子解決企業(yè)提出的安全檢測需求。

但和聯(lián)合創(chuàng )始人陳新龍聊天的過(guò)程中，我發(fā)現威客眾測更多的是想圍繞“安全”講一個(gè)大平臺的故事。

在這個(gè)平臺上，“眾測”是一個(gè)面向市場(chǎng)的切入點(diǎn)，而且它能提供的服務(wù)類(lèi)型要比普通的白帽社區更加豐富。

面向企業(yè)客戶(hù)的眾測

在設計眾測產(chǎn)品的模型時(shí)，陳新龍認為“可信”是非常關(guān)鍵的一個(gè)原則，安全眾測應從企業(yè)客戶(hù)自身權益出發(fā)，讓他們相信眾測的可靠性和安全性。之所以強調這一點(diǎn)是因為企業(yè)客戶(hù)面對眾測這類(lèi)安全服務(wù)時(shí)往往有一個(gè)顧慮：自己公司的漏洞會(huì )不會(huì )被公開(kāi)或半公開(kāi)披露，對企業(yè)信譽(yù)以及安全造成嚴重危害?

為了解決企業(yè)客戶(hù)的這個(gè)痛點(diǎn)，陳新龍把發(fā)現漏洞的工作人員分為了四個(gè)階層，從上而下信任程度逐漸增強：

第一層是最基礎的白帽子，來(lái)自于全國各地的信息安全產(chǎn)品和服務(wù)廠(chǎng)商、事業(yè)單位、互聯(lián)網(wǎng)公司，以及高校學(xué)生等等。這些白帽子經(jīng)過(guò)平臺的認證，擁有單獨的散兵作戰能力，企業(yè)客戶(hù)在平臺上發(fā)布眾測項目，平臺把這些白帽子的散兵力量聚集起來(lái)進(jìn)行安全測試與漏洞挖掘，測試時(shí)間結束后，根據測試結果為白帽子結算獎金;第二層是安全戰隊，即某些白帽子自發(fā)集合成的小團隊，相比單獨的個(gè)體來(lái)說(shuō)戰斗力更強一些，同時(shí)戰隊的形式也能增加企業(yè)對眾測過(guò)程的可信程度。目前平臺上有549個(gè)這樣的戰隊;第三層是企業(yè)戰隊，可以理解成提供安全服務(wù)的廠(chǎng)商，有125家。這些入駐廠(chǎng)商戰隊更加專(zhuān)業(yè)，可以進(jìn)一步保證企業(yè)客戶(hù)對眾測過(guò)程的可信程度;第四層是平臺自己的一個(gè)威客行為監控系統，這個(gè)監控系統可以對白帽子滲透測試的全過(guò)程進(jìn)行監控和審計，出現非法操作時(shí)可以直接進(jìn)行終止。

四個(gè)不同層級的設計能夠讓企業(yè)客戶(hù)根據自身的狀況尋找最合適的漏洞檢測方案，同時(shí)保證測試過(guò)程的安全可信。

面向銷(xiāo)售的眾測

威客眾測除了直接向企業(yè)客戶(hù)提供安全服務(wù)，還有針對銷(xiāo)售人員的產(chǎn)品。

按照安全領(lǐng)域傳統的方式，企業(yè)客戶(hù)和安全廠(chǎng)商之間一般會(huì )直接對接安全類(lèi)的服務(wù)。提供加固產(chǎn)品和服務(wù)的安全廠(chǎng)商通常設立了專(zhuān)門(mén)的銷(xiāo)售崗位去pitch潛在客戶(hù)，而這些銷(xiāo)售為了業(yè)績(jì)必須使出渾身解數去獲取客戶(hù)。

但普通的企業(yè)客戶(hù)安全意識不強，往往會(huì )自信自己的系統是非常安全的，不需要這類(lèi)服務(wù)。這和推銷(xiāo)保險時(shí)遇到的情況差不多。

因此，銷(xiāo)售為了證明自己公司的實(shí)力強、產(chǎn)品好，常常免費為企業(yè)做信息安全預評估來(lái)證明實(shí)力。這時(shí)銷(xiāo)售要向自己的公司申請白帽子資源，而公司白帽子資源是有限的，而且成本比較高，不可能滿(mǎn)足每一個(gè)銷(xiāo)售的需求。

借助威客眾測，銷(xiāo)售人員在拿到企業(yè)授權的情況下，可以在平臺上發(fā)布一個(gè)漏洞需求，調用平臺上的白帽子資源為客戶(hù)提供信息安全預評估，從而更快的拉到客戶(hù)。

媒體

有意思的是，威客眾測還有自己的媒體平臺，名為“圈里圈外”。這個(gè)平臺主要提供信息安全領(lǐng)域的相關(guān)資訊和新聞報道。陳新龍告訴36氪，他們在安全領(lǐng)域用娛樂(lè )新聞的方式在做媒體，一來(lái)比較好玩，二來(lái)可以更好的傳播信息安全相關(guān)的訊息。

在眾測和銷(xiāo)售這兩塊內容之外，媒體的補充讓人很容易發(fā)現“威客眾測”更多的是想圍繞“安全”做一整個(gè)生態(tài)圈的事。媒體不僅可以在現階段普及安全領(lǐng)域的相關(guān)內容，提高企業(yè)客戶(hù)對自身產(chǎn)品和服務(wù)系統的安全意識，還能在今后成為平臺上的一個(gè)入口，為眾測和其他安全服務(wù)帶來(lái)更多的流量和項目。

乙方出身

聊到團隊的時(shí)候，陳新龍表示，威客眾測的團隊，相比那些BAT背景的創(chuàng )業(yè)團隊而言，可能并不是那么亮眼。團隊的主要成員來(lái)自于各大傳統安全廠(chǎng)商，長(cháng)期屬于安全領(lǐng)域的乙方角色。但陳新龍認為這種乙方角色的出身，對于威客眾測在做的事情其實(shí)是更有利的。

“因為我們在創(chuàng )業(yè)之前一直是一個(gè)乙方的角色，長(cháng)期和企業(yè)的安全服務(wù)直接打交道，所以我們其實(shí)更了解他們(企業(yè)客戶(hù))的想法，知道他們面對安全服務(wù)時(shí)的顧慮。另一方面，安全廠(chǎng)商們的痛點(diǎn)我們也很清楚，所以也才有了為銷(xiāo)售人員設計的那種模式。我們也做了移動(dòng)版的APP，讓銷(xiāo)售人員拿到企業(yè)授權的過(guò)程變得更簡(jiǎn)單。這些細節上的設計，都得益于以前的工作背景。”陳新龍說(shuō)。

乙方背景的出身還讓威客眾測平臺設計了一種網(wǎng)絡(luò )安全的“請愿”模式。在這種模式下，白帽子提交一些已發(fā)現的廠(chǎng)商安全問(wèn)題漏洞，威客眾測平臺可以作為“中間人”與廠(chǎng)商聯(lián)系協(xié)調把請愿項目敦促成安全檢測項目，在保證白帽子利益的同時(shí)解決企業(yè)的信息安全問(wèn)題。

“全民請愿可以讓人們知道某個(gè)企業(yè)自身的安全狀況，讓民眾清楚自己的互聯(lián)網(wǎng)財產(chǎn)與個(gè)人相關(guān)信息安全。而且這對企業(yè)來(lái)說(shuō)也是好事。比如，那些做金融P2P的公司借著(zhù)民眾的“請愿”可以解決自身的安全隱患，同時(shí)也能讓用戶(hù)更放心把錢(qián)投到自己的平臺上。這種模式其實(shí)也開(kāi)辟了一種政府、全民監管的新渠道。”陳新龍這樣告訴36氪。

值得一提的是，除了眾測、找安全廠(chǎng)商做外包，微軟、Google這類(lèi)大公司通常會(huì )在內部建設自己的Bug Bounty Program model，也就是漏洞打賞機制，用來(lái)檢測自己軟件或產(chǎn)品的安全性和可靠性。

安全圈的阿里巴巴、豬八戒

在采訪(fǎng)的結尾，我問(wèn)陳新龍，威客眾測下一步的打算是什么?陳新龍告訴我，在現有的這類(lèi)B2B產(chǎn)品之外，威客眾測未來(lái)還會(huì )陸續在平臺上推出新的模式和安全服務(wù)，完善在安全領(lǐng)域方面的生態(tài)系統建設。

“用一句話(huà)描述你們想做的事情?”我補充道。

“我之前跟別人提過(guò)的一個(gè)說(shuō)法是，我們就像安全領(lǐng)域的豬八戒?；蛘哒f(shuō)，是安全領(lǐng)域的阿里巴巴，讓天下沒(méi)有難做的安全生意”，陳新龍想了想說(shuō)，“當然，我們未來(lái)更多的是想讓人們一提到安全，就會(huì )想到威客眾測。”

目前，威客眾測平臺3.0版本已經(jīng)正式上線(xiàn)。團隊近日完成了一筆2000萬(wàn)人民幣的preA輪融資，來(lái)自于如山創(chuàng )投，厚持資本，華立暾瀾，中南暾瀾。威客眾測此前完成的天使輪則來(lái)自于“滴滴打車(chē)”的天使投資人王剛和日升天信董事長(cháng)。