信创安全挑战赛的故事

来源：赵武的自留地

我从来就不是一个希望抛头露面的人，按照我的个性，每次拍照一般都希望躲在最后面边角的位置，用帽子遮挡住我笑起来千篇一律且僵硬的脸，如果有时间，我倒是更愿意呆在电脑面前开发一段代码。

故事从2020年的四月份说起，某一天TK教主很神秘地给我打了一个电话，你知道他是非常非常严谨的人，所以他的语调属于你讲一句话要等他几秒钟的那种，声音低沉充满磁性，每次听他神秘的开场你都以为要去干炸掉火星的勾当。他说有一个小组他作为组长在牵头，问我有没有兴趣，我说你牵头这事就靠谱，于是他把我作为副组长报上去了。期间参加了两次会议，慢慢地事情才逐步清晰，他要做的事情确实不简单，因为小组的名字就叫做“信创安全技术委员会挑战赛专项组”，这件事乍一听就是技术的事，越往后就越不像是技术的活了。我很庆幸我只是副组长，不然头的多大啊，这种需要各种协调的活我并不擅长，TK倒是挺合适的，这方面我很佩服他，技术顶尖逻辑清晰还擅长跟人打交道。

时间很快过了一年，TK又给我来了一个神秘的电话，依然是低沉性感的声音：“喂，你，那个，当组长，你，觉得，怎么样？” 我以为他在开玩笑，我说：“我配合你就好，什么杂事我都可以安排人接过来干，但是这件事情跟漏洞平台的运营还不太一样，我对自己几斤几两还是很清楚的，扛不起来事。我跟着你狐假虎威可以，但你必须在前台”。“……嗯，好的，我，知道，了……”

然后的事情就失控了，原来他说“知道了”的意思是跟信创技术委员会的杜总说，推荐我来当组长。所以当秘书长联系我的时候，我根本不敢接，因为我知道这事很重要，非常重要，重要到会影响未来国内网络安全的行业生态。我根本不是原创二进制漏洞挖掘的料，我看龚广他们写的技术文章都会想睡觉，怎么可能来牵头干这活呢？我告诉大家怎么用fofa还行，远距离模糊的看看还行，近了一看大家会极其失望。就好像有个段子说，想进一家公司，感觉公司很厉害，各种祈祷，真到进去的那一天，又说公司也就这样，连我这种人都能进来。

我想了几天，很纠结，“靡不有初，鲜克有终”的道理我是懂的，凡事都有一个开始，但是未必都能有好的结果。尤其是在自己不擅长的领域，很多外部的事情不是靠自身努力就能达成的，毕竟这不是技术活。我也知道有很多人在观望，甚至是等着看笑话，但是最后还是决定接下来，因为最初创业的时候我把公司取名叫白帽汇，就是希望能够汇聚白帽子们的力量，聚沙成塔，而现在一个很要命的问题是，在一系列网络安全相关的法律密集出台的背景下，很多事情还没有定下来的情况下，以至于安全研究人员都诚惶诚恐如履薄冰的时候，大家是无法聚集力量的。人才是最重要的资源，人才生存的土壤直接影响了科技的发展。如果这一件事能够帮助到行业更好地保护了土壤，留下了一些良田，那么未来就总有机会不断地扩大以及生长，网络安全的人才就能源源不断的涌现，帮助行业输出更多的核心价值。

之前很多顶尖的网络安全人才有的去了国外，有的在帮助国外的企业输出原创漏洞，我认为在一定时间内的自由经济的市场环境倒是无可厚非。一直到国际形势的变化，网络安全漏洞变成了一种对抗的新形态和宝贵资源，大家才发现很多漏洞不一定是bug而是后门。再加上很多国外的技术不对国内开放，想要限制我们崛起的势头，反倒是激发了我们自主创新自力更生的傲气。罗马不是一天建成的，自主创新又谈何容易，多少科学家熬白了头发。热火朝天的干，步子只能一步一步的挪，这些企业一直以来都生存在生气线的边缘，过不过不下来，哪来的创新哪来的安全。所以从无到有，从不好用到好用，从不安全到安全，我们看着那座大山，也为自己叹口气，胜利终将到来，只是时间问题。

对于网络安全行业而言，还存在一个更大的问题，那就是顶级的网络安全研究人员已经习惯了国外高昂的现金奖励，名利双收，各种名誉和奖励都拿到手软，相比较而言，让国内这些好不容易喘口气进入人才抢夺战的奋斗期的企业投入等比例的重金来奖励白帽子，根本就不现实。

所以一方面企业付不起钱，一方面漏洞研究人员因为各种政策和个人的原因不愿意投入精力去研究国产化的产品漏洞，这也就导致了我们可预见国内产品的漏洞会积压地越开越多，再随着市场的陆续铺开，后面会发生什么，我们也就不敢去想象了。杜总说“你研不研究，漏洞都在那里；你知不知道，黑客都会知道”。

我跟杜总一起喝了次酒吃了个饭，感觉他还是挺有格局的，对于各种问题兵来将挡水来土掩，举重若轻，所有事情他都能有答案，但偶尔我也会有种错觉好像隐约也能看到一丝令人动情的“悲壮”。我表达了我的各种担忧，以及做成这件事情的各种期望，杜总一一解答，他告诉我哪些是可以搞定的，哪些是我们可以去争取的，哪些是一定搞不定的。我听懂了大部分的话，但是我还是没有看到必然成功的路径，我知道很多事情之所以迷人，就是因为大家都看不清楚道路，所以你的努力，尤其是坚持到最后的努力，才弥足珍贵。

TK给我留了一些很好的底牌，比如他还拉了两个副组长，一个是杨坤，一个是陈雪斌（还是叫古河更霸气一点），每一个人都是行业内最顶级的存在。我做的第一件事就是去拉更多顶级的存在，他们必须满足我心目中三个条件：一）技术在国际上出类拔萃；二）有黑客精神且德高望重；三）本身不差钱有一些情怀愿意挤出一些时间。后来除了代表长亭的杨坤和代表独立研究员的古河，大家相互推荐，依次又进来了：赛博昆仑的MJ郑文彬，360的龚广，华为的陈良，深信服的彭峙酿，百度黄正。这么一批人中的每一个都是神仙级别的存在，霸占了各种pwn赛事的榜首。当然还有一些我们还没有来得及拉过来，包括代表盘古团队的几位，还有各个安全实验室的负责人，我想把geekpwn和天府杯的那些老板们都拉过来，我会问他们：“老板们，你们有兴趣研究研究国产的产品漏洞吗？暂时还没有太多奖金的那种”。

接着我们拉进来了信工所的龚晓锐老师，武汉大学的彭国军老师，以及国测的马金鑫主任，有了这些专家的加盟，我突然觉得事情不再是那么难了，之前担心技术上的保障就没问题了。中间我很担心给不了大家回报，有位专家说“反正从我这边角度来说，我不图钱也不图啥，主要还是对你认同，所以才加入的”，我感动地差点就激动地扑上去亲他一下。我倒是觉得，并不是对我的认同，而是更多地对行业认同。大家的目标是高度一致的，尝试努力去撑起国内网络安全的一片地，越撑越大，能撑多大是多大，一件事情撑不起来没关系，还有更多的事情需要大家去撑，行业嘛，不就是通过大家的共同努力给做起来的吗？

我们跟杜总和姚秘书长说，技术专家和参赛队伍这些技术方面的事交给我们，但是政策和资金我们人微言轻做不了，只能你们出面了。我就站在他们背后，看着他们跟各个部门领导去沟通汇报，跟厂商去沟通汇报，去消除大家的疑虑，去解释未来为什么行业这么发展才是对的。这个过程我们才更清楚的体会到，要做成一件事情有多么的不容易。我们的方案推翻了很多次，奖金计划推倒了很多次，最后连活动的名称都换了。杜总发布会上说护航计划的logo有六个元素代表着大家呵护的力量，中间有一个水滴代表着滋润的希望，我听了倍感动容。

发布会上，杜总给出了他最终的决定，一个专门针对信创安全的公益基金，专门用来支持信创安全事业的发展。他略过了所有背后的故事，我觉得在我们这个层面遇到的困难，跟在他那个层面遇到的困难肯定不是一个级别的。我看我的白头发，就远不如他眼睛边角靠近的那一块白头发多。

300万的奖金算多不多？我当然认为是不够的，这跟国外动则一个漏洞上百万美金比起来就不是一个级别，所以发布会上杜总也提到我跟他哭穷要钱的事情。巧妇难为无米之炊，我希望大家进入信创的领域，我可以跟专家们说你们是无偿的啊，不准问我要钱（因为我选择的时候就是有不差钱这一条啊），但是我们对于参赛队伍不能这么来，我们不希望知识产权只是一个口头承诺，我们认为可持续发展的道路一定是商业化有回报的，这样才能激励更多的人才投身这个领域，踢开他们的男女朋友，把他们的青春奉献到这个事业上面来。

我不知道未来会发生什么，我也无法去承诺这件事一定能成，但是这件事有了成功的引子，我们有了相关部门和领导的许可，我们有了资金，我们有了最牛的专家，我们也有了那么多的参赛队伍，而我们这么多的努力和投入，只针对信创，针对我们国家自己的产品做安全研究，这是第一次。这个历史就值得让我们为了大家的努力喝彩。

感谢信创技术委员会，感谢牵头的性感的TK，感谢无私贡献的专家们，感谢第一批出来支持厂商们，感谢相关部门和和领导们，也感谢我们公司的专项团队，感谢所有支持挑战赛的朋友们。付出不一定都有回报，不付出就一定没有回报，成功与否，让我们交给时间。

活动的官网已经上线，报名通道也已经开启，大家可以访问 https://huhang.nelab-bdst.org.cn 获取更多信息以及报名。

最后，鉴于一直以来大家对我的误会，我必须强调两点：一）我不是360和奇安信的员工，我曾经是，我也为了我曾经在那里赶到自豪，但是我现在真不是，我不能老是蹭老东家的光；二）我真的不是90后，因为我马上就40了，我们公司90后都得管我叫叔。