上周，在乌云网的唐朝安全巡航（TangScan）产品主页上出现了醒目的一句话“全球第一个按结果付费的持续风险管理云平台”，TangScan借此正式为其安全众测产品推出了全新的SaaS收费方式。

作为国内知名的白帽子社区和专业的漏洞发布平台，乌云网从去年就整合社群内的白帽子资源发起了企业安全众测服务，这一服务从推出开始就获得了火爆的市场反应，今年的报名企业已排队预约到6月。

但鉴于乌云众测周期长且持续服务能力受限，乌云去年又推出了TangScan，以SaaS化的安全托管服务快速且及时带给企业一站式的安全体验。和不断有新的企业预约乌云众测不同，TangScan一直主要服务于已经认可乌云能力的企业。吸引更多的企业来试用TangScan，之前的按年付费显然是不够的。

1定制化付费方式，延续乌云众测优势

乌云合伙人邬迪表示，当前企业安全的确遭受了新挑战，一方面是原有的安全机制不足以支撑企业在互联网和云的环境下的安全需求，另一方面是企业不能对于安全问题的轻重缓急进行正确区分，导致真正的安全需求被弱化。

乌云众测服务正是基于解决这两大问题开始的：依托社区中被暴露出来的数十万安全漏洞案例和近两万白帽子资源，通过报名审核、定向邀请等方式组建专业的项目小组，保证细颗粒度地实现多维度、全方位地对测试企业进行安全测试，划分高、中、低三个等级的安全问题。

如果企业有需求，乌云也提供修复漏洞的服务，有些是社区发布过有解决策略的安全隐患，有些则是需要乌云进一步协助修复的企业自开发或第三方开发的应用系统漏洞，可以通过程序代码或是虚拟补丁实现。

TangScan安全托管服务，仍旧是根据乌云掌握的漏洞以及不同行业、不同应用平台特征等建立与展开的，TangScan的解决策略也是乌云在积累了18万个漏洞报告之后，社区白帽子的一手经验带来最快的策略更新，但背后多了一重保障者——乌云的内部团队。

TangScan于上周开始采用按年付费和按结果付费两种模式，本质是为客户提供了可以根据自身情况决定的“按需付费”：自身安全建设过硬的企业安全问题少，按结果付费更划算；问题很多的企业，按年付费更划算。

其中，“结果”是指扫描到的漏洞会造成的实际影响，这就是说如果没有发现问题，企业一分钱也不用支付。当然，TangScan可以向企业进行风险演示，展示漏洞带来的后果。

不管选择哪种付费模式，每当出现通性的安全漏洞时，每个用户都会收到TangScan的安全预警提醒和应急响应策略。高性价比的服务也让TangScan和乌云之前的众测服务一样，收获了一众金融、电商、互联网企业客户的认可。

2  五大资产+六大风险，保驾护航更给力

其实，TangScan已经上线半年有余了，只不过初期的客户主要集中在已经认可乌云众测服务的企业之中。在这段时期内，TangScan也不断在进化技术，比如，信息抓取技术Spider，实现了动态与静态的双引擎，在移动浏览器页面的识别和抓取日臻完美。

五大资产发现是指域名资产、IP资产、服务资产、网站资产和应用资产，六大风险感知是指漏洞风险、配置风险、内容风险、数据风险、资产风险、应用风险。企业可以通过提交工单、QQ、电话等方式与安全专家交流……通过这些多样化的服务种类，TangScan旨在全面发现和深度检测企业的安全漏洞，实时掌握隐患，并且分析出企业的风险趋势。

3整合最优秀的社群力量

无论是乌云众测，还是TangScan，其实是乌云占据了人才优势，汇集了一众技术过硬的白帽子，在资本涌入安全领域之时，可谓是占据了先机，TangScan也因此顺利收获红杉资本青睐。

乌云的白帽子们不管是在乌云众测还是TangScan都扮演着重要的角色。

乌云最初吸引白帽子的原因很简单：交流与学习，甚至得到更好的指导。作为专业的漏洞发布平台“乌云社区”，白帽子们发布的安全漏洞包含着不同行业特征，企业面临的问题很容易在其中进行深入的挖掘。而漏洞发布又遵循严格的规则，比如技术细节的公布时间等，确保环节衔接，不引发额外的安全问题。

发现只是一小步，进一步提供解决策略才是关键。在乌云平台上每周都会有大约40到50个策略被上传。现在TangScan产品负责人章华鹏也是白帽子的一员。他介绍说一般会邀请漏洞的最初发现者来提供策略插件以保证对安全问题的行业与范围等认识更深入，如果因某些原因不能实现，则会下发至高活用户，最终针对某个漏洞可能会有多个策略，选择权留在了用户的手上。

版权声明：

凡本网内容请注明来源：T媒体（http://www.cniteyes.com）”的所有原创作品，版权均属于易信视界（北京）信息科技有限公司所有，未经本网书面授权，不得转载、摘编或以其它方式使用上述作品。

本网书面授权使用作品的，应在授权范围内使用，并按双方协议注明作品来源。违反上述声明者，易信视界（北京）信息科技有限公司将追究其相关法律责任。