简单的回顾整个互联网安全的发展。十多年前还没有互联网，当时安全问题更多的是 PC 单机时代的病毒，当时的人们会研究各种各样有关病毒的问题。有了互联网之后，大量原本孤立的系统连接在了一起，这时候开始爆发木马，出现了更多的系统问题。

那个时代是对互联网安全非常重要的启蒙阶段。这期间，软件漏洞是最重要的。既诞生了CVE(通用漏洞信息库)这样的组织，也诞生了企业安全联盟的方式去采集漏洞、收集漏洞，最终给安全研究者发奖金的做法，这些都是早期非常好的实践经验。

从互联网 1.0 时代开始，软件一旦分发，就很难再收回来，因此在这个时代需要做到漏洞信息尽早披露，这是对所有软件开发商提出的要求，因为需要让这些软件的客户知道软件漏洞对业务产生怎样的危害。漏洞披露也就是从那时开始的。

整个互联网继续往前发展，到了互联网 2.0 时代，大量的业务是被 B/S 架构所替代，软件不再是单机的软件，而是联结在一起的，这时漏洞披露就受到了很大的挑战，如果用互联网 1.0 的做法适配互联网 2.0 的需求，就会产生矛盾。在互联网的 2.0 时代，其实更多的系统漏洞是可以被快速修补掉的，帮助用户和消费者降低风险和弥补损失，但这个时候漏洞披露就需要受到一个严格的监管。

在往后就来到了移动的时代，以苹果 iOS 的崛起和安卓大生态为代表。苹果自建了封闭的安全系统，安卓没有这样完整的体系，更多是采用大量开源和开放的方式，让厂商自己集成安卓的内核。最终，移动时代大量的安全问题是安卓的大生态产生的，而不是苹果平台产生的。这也间接催生了安卓安全的市场——移动时代的许多公司所研究的移动安全，其实就只是安卓的安全。

移动时代之后，就进入了云计算的时代。云计算时代要做什么事情呢?要把技术服务化，让计算变得有弹性，计算赋能给所有的客户，个人开发者也可能和大企业拥有平等的计算能力，束缚创新的不再是计算能力而是个人的想象力，只要想得到，就一定有机会借助云计算把一件事做出来。

从安全的角度来看，云计算不是由一个一个云组成的，它本身就是一个大的操作系统。软件时代诞生很多牛人，他们在 CVE 通用漏洞、Web 漏洞挖掘上有了非常丰硕的成果，但是在今天还没有一个人说对云计算企业级操作系统的理解非常的深刻，没有看到有人在企业级操作系统层面上做出很好的研究成果，这是在座各位(白帽子)的机会、也是我们的使命。