一直以來，漏洞懸賞對程序員來說都更像是茶余飯后的消遣，但隨著微軟漏洞獎金提升計劃到 25 萬美元，開始有人擔(dān)心快速膨脹的獎金會為年輕的網(wǎng)絡(luò)安全研究者帶來錯誤的激勵，此舉更是會扭曲白帽子市場的秩序。

“如果挖個漏洞就能賺的盆滿缽滿，恐怕就沒人會專心修復(fù)漏洞了?！卑踩芯空?Katie Moussouris 說道，她就是微軟首個漏洞賞金項(xiàng)目的負(fù)責(zé)人。

“那些原本在公司里賺工資搞代碼維護(hù)的人現(xiàn)在都坐不住了，他們紛紛轉(zhuǎn)行成了全職的挖漏洞的白帽子，靠獎金來養(yǎng)活自己?！?/strong>Moussouris 總結(jié)道。

“選擇做黑客雖然動機(jī)各不相同，但大多數(shù)都受三個因素影響?！彼忉尩?。其中包括經(jīng)濟(jì)補(bǔ)償、同行認(rèn)可和追求智力上的快感。也就是說，走上黑客之路肯定有一部分原因是出于愛好。

除了在漏洞懸賞界的豐富經(jīng)驗(yàn)，Moussouris 還專門花了幾年時間來分析數(shù)據(jù)，主題就與漏洞賞金項(xiàng)目和市場的其他特點(diǎn)有關(guān)。結(jié)果顯示，防守型漏洞市場已經(jīng)高度等級化，那些挖漏洞技巧致臻化境的一小部分黑客拿走了大部分賞金，其他人能跟著喝喝湯就不錯了。

雷鋒網(wǎng)了解到，賞金項(xiàng)目經(jīng)理 HackerOne 提供的數(shù)據(jù)集顯示，占參與總數(shù) 5% 的白帽子發(fā)現(xiàn)了 23% 的漏洞，而 Facebook 等公司運(yùn)營的漏洞賞金項(xiàng)目也呈現(xiàn)出這樣的趨勢。

在這樣的市場氛圍下，怎么會有人愿意放下能賺大錢的挖漏洞賺賞金機(jī)會，轉(zhuǎn)去公司掙死工資呢？

風(fēng)險溢價

在美國，“一位才華橫溢的漏洞挖掘者一年找到多個價值 10 萬美元的 Bug 并非不可能，也就是說，光靠吃賞金他就能賺到 50-100 萬美元?！卑踩軜?gòu)師 Alex Ionescu 說道。不過他還加了一句，那就是想靠賞金吃飯，風(fēng)險和成本也相當(dāng)可觀。

首先，雖然宣傳說賞金高達(dá) 10 萬美元，但通常這是上限，黑客很難拿到這個數(shù)。其次，“值這個價的漏洞可并非滿地都是，即使技術(shù)高超，可能也要花數(shù)月甚至數(shù)年來尋找?！倍覄e忘了，參與賞金項(xiàng)目的可不是一位黑客，如果別人率先找到漏洞，你數(shù)個月的努力可能就會前功盡棄。別忘了，廠商也在積極尋找漏洞，而它們比黑客們更了解自己的產(chǎn)品。

此外，如果你要靠漏洞賞金過活，還得考慮自己的醫(yī)療保險和養(yǎng)老金等問題。

在美國，到底選擇那條路還是看個人，畢竟在公司可以有自己的社交并學(xué)著與他人合作和相互學(xué)習(xí)，不過對有些人來說這些所謂的好處他們并不在意。

綜合各種因素來說，Ionescu 認(rèn)為在美國如果一年賺不到 50-100 萬美元的賞金，你還是放棄專職做漏洞挖掘者的想法吧。

黑市是個什么情況？

雷鋒網(wǎng)發(fā)現(xiàn)，如果你愿意破壞道德底線，將發(fā)現(xiàn)的漏洞賣給犯罪組織或情報機(jī)構(gòu)，在黑市上拿 50-100 萬美元的賞金并不難。

消費(fèi)者聯(lián)合會隱私與技術(shù)政策主管 Justin Brookman 指出，“進(jìn)攻型”市場的錢袋子可比防御型或白帽市場鼓的多。不過，做這種黑心活可得不到什么公共認(rèn)同，一些漏洞挖掘者也會覺得這種灰色領(lǐng)域還是不碰為好。

在 Ionescu 看來，白帽子市場的錯誤激勵其實(shí)并非那些獎池巨大的漏洞賞金項(xiàng)目。相反，“蚊子肉”項(xiàng)目帶來的影響更壞，它讓許多印度和中國挖漏洞的人上了“賊船”。

也就是說，高薪國家派出的任務(wù)可能會被經(jīng)濟(jì)不發(fā)達(dá)國家的黑客領(lǐng)走，對他們來說這些“蚊子肉”賞金可能也是巨款。如果這種情況繼續(xù)下去，可能會對教育和就業(yè)的平衡產(chǎn)生重大影響。

最后，Brookman 指出，科技公司不應(yīng)該只把錢投在漏洞賞金項(xiàng)目上，它們更應(yīng)該尋找如何設(shè)計沒有漏洞產(chǎn)品的方式。“至少從現(xiàn)在來看，它們的錢和資源并沒有用在前端代碼的糾正上，這才導(dǎo)致了后續(xù)漏洞的接連出現(xiàn)。”Brookman 解釋道。

雷鋒網(wǎng)Via. CyberScoop

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。