其实经过我们这些年的发展，目前网站安全已经做得非常好了，而且现在开发网站的开发人员也意识到了有非常多的应用层的漏洞，他们会在开发网站的时候杜绝这样一些漏洞的风险。

第三阶段，随着数据越来越重要，就产生了数据安全的威胁，这个时候的漏洞大部分是什么样的呢？有防护漏洞、零日漏洞、框架漏洞、自动化攻击漏洞、欺诈漏洞等，随着威胁和我们安全的升级，漏洞也是在不断转变的，这里面的一个规律是什么呢？其实最核心的规律就是黑客的入侵成本问题，也就是黑客会选择入侵成本更低、利益最大的方式。

任何新的平台，都会经历着这三个阶段，比如我们的智能手机。最早的智能手机系统是不安全的，那时候出现了大量的恶意软件，慢慢的升级到现在的安卓和苹果，系统会越来越安全，这时候就到了应用安全的阶段，就会有一些APP二次打包，在App里面植入恶意代码或者监听你的数据。而慢慢随着安全机制升级。黑客可能就会进入到第三个阶段，就是直接去攻击你的数据，窃取你存储在服务器上的数据，也会利用其他的驱动来窃取键盘数据等。

如何解决漏洞？未来何去何从？

我们大概对漏洞也非常的了解了，接下来我们该如何面对呢？也就是说我们的未来将何去何从？这里我先跟大家讲一下安全的本质，这是一张安全投入、威胁程度以及入侵成本的曲线图，大家可以仔细看一下这张图，其实它反映了非常多的问题。

其实安全这个事情就是一个黑与白的博弈。也就是说随着我们安全成本投入的提升，威胁就会越来越小，黑客的入侵成本也会提高，这也是大家有所共知的一个规律。但是这里面就牵扯到一个问题，就是我发现非常多的企业会进行全面的安全建设，花费大量的安全经费，但却没有达到这个曲线上所实现的效果，这究竟是为什么呢？

实际上很多企业没有把安全投入到最重要的方面，没有投入到与入侵成本有关的方面。所以在这种基础之上，我建议企业一定要学会利用黑客的思路进行布防，我们最关注的就是如何能够提高黑客的入侵成本，用黑客的视角来进行防御。

这里给大家列一些漏洞发现的工具：代码审计工具、漏洞扫描产品、渗透测试服务、众测服务、建立SRC（Security Response Center）。

巧用工具学会黑客的视角审视系统里面究竟有没有漏洞，按照黑客的入侵思路进行有效益的安全建设，这才能达到我们预期的期望。当然这些“工具”也有成本对比，优劣对比，我们漏洞银行也推出了更加适合企业的解决方案，这些都需要企业做好相关工作，切实选择适合自己的方案。

最后我再提一点就是我们今年颁布的《网络安全法》，这个也是非常重要的，是我们企业对付黑客违法行为非常重要的一个武器，也希望大家去看一下《网络安全法》的研读，有了立法就有了明确的法律武器，帮助企业打击黑客犯罪行为。

钛坦白群友互动：

1、请问“漏洞银行”，为什么称为银行呢？

张雪松：看来大家对这个品牌名称还是很感兴趣，为什么叫漏洞银行呢？首先我们漏洞银行平台，拥有大量的白帽为企业做漏洞挖掘和测试，用黑客视角帮助企业寻找威胁。他们会把漏洞提交给我们，其实每个漏洞都是有价值的，那我们认为这个如同是存取漏洞的银行，是一个非常形象的比喻，所以我们就取名漏洞银行了。

2、请问张总，我想知道黑客这么会隐藏自己的行踪，他们怎么找女朋友啊？

张雪松：这个问题问的非常好。首先很多黑客他们本身单身的比较多，同时他们有这样的一个特性：一旦圈内有新技术新的漏洞利用方式出现，他们会彻夜通宵来研究和利用漏洞，完全会把女朋友抛掷脑后，所以也确实会很难找到女朋友。

3、请问现在好多网站可以使用自己的微信授权，对于安全考虑是不是尽量避免这种授权？

张雪松：其实在很多应用里面都会进行微信授权，这里面一般来说，对方应用只能够拿到你的头像和昵称信息，微信授权接口没有授权微信号、手机号等隐私信息，所以只要你头像不用个人照片，昵称没有真实名称，一般没有太多风险。但是在大数据时代，这些授权页面收集到足够多的信息，再进行一个建模，然后会通过你的昵称和头像发现你的手机号和地址，这种情况就比较危险了。建议尽量少去进行这种授权，像一些比较知名的品牌或者是公众号，授权是没有问题的，其他不知名的网页就不要授权了。

4、请问现在如果一个初创公司要开发一款App，是不是需要与这样的安全机构合作？