一直以來，漏洞懸賞對(duì)程序員來說都更像是茶余飯后的消遣，但隨著微軟漏洞獎(jiǎng)金提升計(jì)劃到 25 萬美元，開始有人擔(dān)心快速膨脹的獎(jiǎng)金會(huì)為年輕的網(wǎng)絡(luò)安全研究者帶來錯(cuò)誤的激勵(lì)，此舉更是會(huì)扭曲白帽子市場(chǎng)的秩序。

“如果挖個(gè)漏洞就能賺的盆滿缽滿，恐怕就沒人會(huì)專心修復(fù)漏洞了。”安全研究者 Katie Moussouris 說道，她就是微軟首個(gè)漏洞賞金項(xiàng)目的負(fù)責(zé)人。

“那些原本在公司里賺工資搞代碼維護(hù)的人現(xiàn)在都坐不住了，他們紛紛轉(zhuǎn)行成了全職的挖漏洞的白帽子，靠獎(jiǎng)金來養(yǎng)活自己。”Moussouris 總結(jié)道。

“選擇做黑客雖然動(dòng)機(jī)各不相同，但大多數(shù)都受三個(gè)因素影響?！彼忉尩馈Ｆ渲邪ń?jīng)濟(jì)補(bǔ)償、同行認(rèn)可和追求智力上的快感。也就是說，走上黑客之路肯定有一部分原因是出于愛好。

除了在漏洞懸賞界的豐富經(jīng)驗(yàn)，Moussouris 還專門花了幾年時(shí)間來分析數(shù)據(jù)，主題就與漏洞賞金項(xiàng)目和市場(chǎng)的其他特點(diǎn)有關(guān)。結(jié)果顯示，防守型漏洞市場(chǎng)已經(jīng)高度等級(jí)化，那些挖漏洞技巧致臻化境的一小部分黑客拿走了大部分賞金，其他人能跟著喝喝湯就不錯(cuò)了。

雷鋒網(wǎng)了解到，賞金項(xiàng)目經(jīng)理 HackerOne 提供的數(shù)據(jù)集顯示，占參與總數(shù) 5% 的白帽子發(fā)現(xiàn)了 23% 的漏洞，而 Facebook 等公司運(yùn)營(yíng)的漏洞賞金項(xiàng)目也呈現(xiàn)出這樣的趨勢(shì)。

在這樣的市場(chǎng)氛圍下，怎么會(huì)有人愿意放下能賺大錢的挖漏洞賺賞金機(jī)會(huì)，轉(zhuǎn)去公司掙死工資呢？

風(fēng)險(xiǎn)溢價(jià)

在美國(guó)，“一位才華橫溢的漏洞挖掘者一年找到多個(gè)價(jià)值 10 萬美元的 Bug 并非不可能，也就是說，光靠吃賞金他就能賺到 50-100 萬美元。”安全架構(gòu)師 Alex Ionescu 說道。不過他還加了一句，那就是想靠賞金吃飯，風(fēng)險(xiǎn)和成本也相當(dāng)可觀。

首先，雖然宣傳說賞金高達(dá) 10 萬美元，但通常這是上限，黑客很難拿到這個(gè)數(shù)。其次，“值這個(gè)價(jià)的漏洞可并非滿地都是，即使技術(shù)高超，可能也要花數(shù)月甚至數(shù)年來尋找。”而且別忘了，參與賞金項(xiàng)目的可不是一位黑客，如果別人率先找到漏洞，你數(shù)個(gè)月的努力可能就會(huì)前功盡棄。別忘了，廠商也在積極尋找漏洞，而它們比黑客們更了解自己的產(chǎn)品。

此外，如果你要靠漏洞賞金過活，還得考慮自己的醫(yī)療保險(xiǎn)和養(yǎng)老金等問題。

在美國(guó)，到底選擇那條路還是看個(gè)人，畢竟在公司可以有自己的社交并學(xué)著與他人合作和相互學(xué)習(xí)，不過對(duì)有些人來說這些所謂的好處他們并不在意。

綜合各種因素來說，Ionescu 認(rèn)為在美國(guó)如果一年賺不到 50-100 萬美元的賞金，你還是放棄專職做漏洞挖掘者的想法吧。

黑市是個(gè)什么情況？

雷鋒網(wǎng)發(fā)現(xiàn)，如果你愿意破壞道德底線，將發(fā)現(xiàn)的漏洞賣給犯罪組織或情報(bào)機(jī)構(gòu)，在黑市上拿 50-100 萬美元的賞金并不難。

消費(fèi)者聯(lián)合會(huì)隱私與技術(shù)政策主管 Justin Brookman 指出，“進(jìn)攻型”市場(chǎng)的錢袋子可比防御型或白帽市場(chǎng)鼓的多。不過，做這種黑心活可得不到什么公共認(rèn)同，一些漏洞挖掘者也會(huì)覺得這種灰色領(lǐng)域還是不碰為好。

在 Ionescu 看來，白帽子市場(chǎng)的錯(cuò)誤激勵(lì)其實(shí)并非那些獎(jiǎng)池巨大的漏洞賞金項(xiàng)目。相反，“蚊子肉”項(xiàng)目帶來的影響更壞，它讓許多印度和中國(guó)挖漏洞的人上了“賊船”。

也就是說，高薪國(guó)家派出的任務(wù)可能會(huì)被經(jīng)濟(jì)不發(fā)達(dá)國(guó)家的黑客領(lǐng)走，對(duì)他們來說這些“蚊子肉”賞金可能也是巨款。如果這種情況繼續(xù)下去，可能會(huì)對(duì)教育和就業(yè)的平衡產(chǎn)生重大影響。

最后，Brookman 指出，科技公司不應(yīng)該只把錢投在漏洞賞金項(xiàng)目上，它們更應(yīng)該尋找如何設(shè)計(jì)沒有漏洞產(chǎn)品的方式。“至少?gòu)默F(xiàn)在來看，它們的錢和資源并沒有用在前端代碼的糾正上，這才導(dǎo)致了后續(xù)漏洞的接連出現(xiàn)。”Brookman 解釋道。

雷鋒網(wǎng)Via. CyberScoop

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。