知道創宇再獲CNVD 12星最高榮譽，務實是安全研究的基石

今年3月初，國家信息安全漏洞共享平臺（后簡稱CNVD）對外發布了《關于2020年CNVD技術組支撐單位工作情況的公告》。公告里附上了CNVD技術組支撐單位各能力象限情況，知道創宇憑借過硬實力，一舉拿下12星最高榮譽。繼2018年第一次評選后，知道創宇在本次也是第二次評選中再次蟬聯了12星。近幾個月來，知道創宇接連獲得了 CNVD和CNNVD（國家信息安全漏洞庫）的認可，其中包括： 2020年度最具價值漏洞、原創漏洞發現貢獻單位、漏洞應急工作突出單位、年度優秀技術支撐單位、漏洞預警報送專項獎。

CNVD 2020年度漏洞應急工作突出單位

這些榮譽的背后，是官方機構的認可與鞭策，更是知道創宇404實驗室務實的安全研究精神的體現。

CNVD成立12年，推動我國安全行業蓬勃發展

國家信息安全漏洞共享平臺（CNVD）是由國家計算機網絡應急技術處理協調中心（簡稱CNCERT）聯合國內重要信息系統單位、基礎電信運營商、網絡安全廠商、軟件廠商和互聯網企業于2009年建立的國家網絡安全漏洞庫。

從CNVD官網可以看到，建立CNVD的主要目標是與國家政府部門、重要信息系統用戶、運營商、主要安全廠商、軟件廠商、科研機構、公共互聯網用戶等共同建立軟件安全漏洞統一收集驗證、預警發布及應急處置體系。以此切實提升我國在安全漏洞方面的整體研究水平和及時預防能力，進而提高我國信息系統及國產軟件的安全性，帶動國內相關安全產品的發展。

CNVD能力象限解讀，知道創宇如何再獲12星

CNVD技術組現目前共有35位安全公司成員，知道創宇正是其中一位。CNVD技術組成員的主要工作包括漏洞收錄、漏洞分析、漏洞挖掘以及漏洞全局監測、應急響應等。為了更好的反映技術組成員的支撐效果，CNVD參照《CNVD成員單位能力評價》的要求，每年開展一次能力評價工作，以此對CNVD成員單位的各項能力進行全方位衡量。

2020年CNVD技術組支撐單位各能力象限情況

2018年CNVD技術組成員單位綜合情況

能力象限解讀

漏洞收集：能積極跟蹤國內外公開漏洞信息發布源，能持續定期批量向CNVD提交收錄的已公開漏洞信息。

漏洞發現：具備開展漏洞檢測、監測的技術能力，擁有漏洞檢測相關的自主知識產權產品。

漏洞威脅風險大數據：具備獨立開展軟硬件產品應用識別和資產普查工作的能力。

漏洞技術分析：能夠獨立完成軟硬件產品漏洞的攻擊檢測、分析、驗證工作，具備漏洞PoC/EXP編寫和漏洞攻擊監測特征的輸出能力。

重大漏洞事件響應：對突發漏洞事件或一些制定漏洞的技術驗證和全局響應工作，具體包括：提供或改寫驗證代碼、開展全網目標巡檢、開展全網攻擊情況監測等。

集體任務協作：專項任務支撐配合，一般包括：按照工作要求提供相應的人員和技術支撐，配合完成所分配的專項任務等。

務實是404實驗室安全研究的基石

“如果只用兩個字概括知道創宇404實驗室的工作，那就是務實。”在獲得12星后，我向知道創宇404實驗室總監隋剛進行簡短的采訪，隋剛如是說。

隋剛表示：“在漏洞應急方面，相比數量更多的事件型漏洞，我們更加關注通用型漏洞。”原因很簡單，通用型漏洞比事件型漏洞危害更大。事件型漏洞是某一個具體的網站或應用的漏洞；而通用型漏洞是某一類的網站或應用的漏洞，如通用組件等漏洞。也就是說，一個危害嚴重的通用型漏洞，甚至可以造成十萬個事件型漏洞。“所以在漏洞應急研究上，我們更關注通用型漏洞。”集中精力收集高風險漏洞，不跟風，是知道創宇404實驗室的安全研究風格。

同時隋剛表示：“漏洞也存在惡意炒作，甚至還有假漏洞的情況，所以每當遇到漏洞應急響應，404實驗室的安全研究員會基于事實測試，從復現、漏洞分析研究，并結合基于ZoomEye的動態測繪思想盡可能在事實數據等層面真正地反映漏洞影響面。

當漏洞來襲，知道創宇響應：快、準、狠

漏洞威脅風險大數據和重大漏洞事件響應象限，是知道創宇的強項。一直以來，知道創宇的漏洞響應服務都以快、準、狠著稱。以404實驗室為代表的專業安全團隊，能在漏洞爆發的第一時間快速響應，在最短時間內提供漏洞的相關數據、說明文檔以及最重要的漏洞檢測防御等。

而這背后是知道創宇ZoomEye、Seebug、創宇安全大腦以及404實驗室的特種兵聯合“作戰”的成果。

知道創宇漏洞快遞

ZoomEye作為全球領先且是中國最早的網絡空間搜索引擎，于2013年正式對外發布，通過不斷技術積累及持續打磨，已成長為國際網絡空間測繪領域的領導者。在2020年，ZoomEye作為唯一的中國產品被評選為全球安全研究者使用的最好的9大搜索引擎之一。Seebug漏洞平臺，早已是國內最專業的民間漏洞社區平臺，在這里聚集了7萬白帽子和6萬漏洞信息。

我們認為“漏洞”與“數據”是網絡安全的兩大基石，只有“務實”的團隊才能把這兩大基礎夯實，而我們404實驗室就是這樣的團隊。漏洞對應我們的Seebug體系，數據則是ZoomEye測繪體系，再聯合創宇安全大腦，強強聯合，才能成就知道創宇的“快、準、狠”。

事實上，基于這些能力，在國家有關部門指導下，知道創宇已進行了百余次重大漏洞爆發時的資產檢查、應急處置、安全保障、網絡空間安全應急響應等工作，為我國網絡疆域的安全防護做出了重要貢獻。

突破就是把每一件小事做好

每當有危害、影響較大的漏洞爆發，知道創宇都會在第一時間聯系相關監管部門全力支持。我們不斷致力于維護國家網絡安全，協助有效應對網絡空間各領域里的現實威脅，維護網絡空間生態安全。

當提到如何在安全工作上持續突破，以此來更好地應對網絡安全威脅時。隋剛也簡短有力地回復了我：“不積硅步，無以至千里。把一件件小事做好，自然就會有突破。”

做安全漏洞研究，還是要務實。仰望星空，腳踏實地。這就是被譽為網絡安全特種兵的知道創宇404實驗室。

踏實積累，全面輸出

在網絡空間形勢變換莫測的今天，威脅與風險無處不在。知道創宇將以自身積累的安全能力和強有力的云防御輸出，結合全球領先的網絡空間測繪、不斷進化的創宇安全大腦及海量威脅大數據，立足攻防一線，時刻為網絡空間安全、國家安全、人民安全而戰。

對于即將到來的中國共產黨建黨100周年華誕，知道創宇也將繼續秉持“俠之大者，為國為民”的理念，不斷提高產品能力和技術支撐能力，為黨政機關、國企央企及其他企事業單位的關鍵業務系統和網站提供重點保障服務，為網絡安全穩定貢獻力量，護航建黨100周年紀念活動順利開展！