想当互联网漏洞的“赏金猎人”?这点钱还不如打扑克

  • 时间:
  • 浏览:0
  • 来源:极速1分6合下注平台_极速1分6合注册平台_极速1分6合官网平台

程序员什么都什么都我通过“漏洞赏金计划”(网络公司给予报告其安全漏洞的程序员以现金奖励)来谋生,就好比普通人把玩德州扑克当生活来源,这难度可不低。麻省理工出版的《网络安全新外理方案》,其中一有一个章节《修复漏洞:漏洞的劳动力市场》摆出数据说明,通过“漏洞赏金计划”赚钱越来越。赏金计划和财富分配以及其它社会学间题一样,都遵循帕累托分布(指极少的人口拥有大要素财产)的规则。数量最多、质量最高的安全漏洞报告来自于很少一要素程序员,当然赏金计划的绝大要素奖金也由大伙获得。而剩下的大要素参与者里还还里能 瓜分很少比例的奖金。

《修复漏洞》并越来越鼓励软件公司通过赏金计划来改进它们的安全系统。HackerOne是一有一个进行该计划的公司,它宣称过后有超过200万人表态 了帮助其提高安全性的协议。有200万双眼睛仔细查看你的代码,这听起来是不错,曾经你你这人数字也包括僵尸帐户和你你这人从来越来越发现过漏洞的人。实际上,里还还里能 少数顶级程序员我太多 发现漏洞并要怎样让 获得现金回报。

对此,有外媒表示,对于公司来说,我太多 把我每人个的网络安全只寄希望于一有一个高效的程序员,要怎样让 还他不知道他有无能有足够的业余时间为公司工作。

那为你你这人不干脆聘请你你这人网络安全高手来公司做安全顾问呢?《修复漏洞》的作者认为,应该用赏金计划来激励程序员中的精英。过后该计划只针对受邀程序员,对于管理琐碎的、不重要的、重复的漏洞,可不前要降低其运营成本。(里还还里能 4-5%来自谷歌、Facebook和GitHub对公的赏金计划才有奖金。)据作者说,为数太多的优秀漏洞猎人是不可或缺的人才,也是大伙才有能力推动赏金计划你你这人市场的发展。基于此,在可控制的条款和条件下雇用大伙来做安全顾问似乎更实际。

数据正在动摇漏洞赏金计划

在书中,Facebook资助的独立研究人员仔细研究了以下有一个漏洞赏金计划的数据:1)6一有一个HackerOne项目,覆盖周期超过2有一个月;2)Facebook项目逾4有一个月的数据。HackerOne数据组包括来自Twitter、Square、Slack、Coinbase、Flash等的奖励程序。HackerOne数据组的我太多 跨项目跟踪用户名,但Facebook数据组还还里能 。

▲上表:参与者、出售额、Facebook(4有一个月)/ HackerOne(2有一个月)奖金;下表:平均出售额及相应人员数量

寻找漏洞的高手不仅仅只参与一有一个赏金计划。这批顶级选手横扫多个项目,通过不同的技术售卖大伙发现的漏洞。此外,价值最高的关键性漏洞也是由这批程序员发现报告的。平均而言,1%的顶级程序员向约有一个不同的赏金计划报告漏洞。

书中含高了什么都平均数值:程序员的平均出售额、平均收入、平均交易额。在分析赏金分布的过程中,你你这人平均值不可取。你这人:过后一组有90我每人个时薪10美元,另一组有10我每人个时薪2000美元,平均值什么都什么都我时薪109美元,但曾经的平均值还还里能 反映出两组的差异化收入水平。

令人惊讶的是,书中竟越来越体现你你这人差异。作者发现,当人群分层时,不同群体的差异很说明间题。而对于表现最好的那5%的程序员,大伙的什么都信息却被省略了。

大伙试图重组图表以说明间题:在赏金计划含高一小群多产的参与者。数据集越大,你你这人趋势越明显。在HackerOne和Facebook的全部数据集中,报告10个以上漏洞的人占7%,共计报162有一个漏洞,而其余93%的人一共报告了252有一个漏洞。

最出色的程序员被混为一谈,一并归入“发现10个以上漏洞”的组别。我我觉得你你这人群体还应该继续细分。HackerOne数据中,排名前1%的人(6名参与者)报告16一有一个漏洞,Facebook数据中排名前1%的人(7名参与者)报告27有一个漏洞,这1%的程序员平均每人报告27个和39个漏洞!即使在收入最高的顶级程序员中也过后处于分层间题,但目前越来越更全部的数据,什么都什么都高手群体要怎样分层还是个谜。

前1%的人虽多产,但总体收入并不高。Facebook数据中排名前七的参与者平均每月报告0.87个错误,平均年薪为34255美元,比密西西比害虫防治工人赚的前要少什么都。

对于HackerOne数据组中排名前六的人来说,具体情况更糟。平均每月报告1.17个漏洞,而平均年收入里还还里能 16544美元。曾经,《修复漏洞》的注释要素出显了有一个异常数据,一有一个提到谷歌的赏金计划(Chromium Rewards Program)为单次漏洞报告竟然支付了30万美元,曾经是Facebook项目的一名参与者在2一有一个月内挣了182000美元,即平均年收入102000美元。

看完这里心都凉了吧,即便过后有无1%的高手,赏金计划的收入也我我觉得不可观,不过很有过后参与赏金计划什么都什么都我你你这人程序员的副业而已。程序员过后很擅长找到什么都关键漏洞,要怎样让 设置扫描程序和警报,静待相关的赏金计划上线,这也是不错的买卖。找漏洞,提交证据,要怎样让 赚钱,再找下一有一个漏洞。

赏金计划外是有无更优选着?

谁是最优秀的漏洞赏金猎人,大伙的背景是你你这人?大伙因何脱颖而出?数据越来越给出你你这人间题答案,但作者提出了有一种过后性:不断提高的职业技能、天赋、专业人士和业余爱好者的差异。(什么都表现最好的猎人过随后 自于同一有一个账户下的团队媒体商务合作,也过后是擅长几种关键漏洞类型的我每人个,在新项目启动时,大伙会密切关注较容易的目标。)无论大伙是谁,你你这人就有不可或缺的人才,应当鼓励大伙加入漏洞赏金计划。为此,作者提出了有一个方案:

  • 1.通过不向公众开放的仅限邀请的项目,保持人才池的排他性。这确保了最有才干的程序员并不与什么都相对较弱的选手竞争,可不前要独揽奖金。

  • 2.漏洞报告若连续有效,则应该提高赏金价格,以外理程序员转向其它项目。

  • 3.向有才华的研究人员提供资助,即使越来越发现漏洞也要支付酬劳。

你你这人建议和请咨询公司进行代码审计越来越太多区别。此外,对参与者而言,一有一个仅限邀请的赏金计划项目面临着“先有鸡还是先有蛋“的悖论:当程序员还越来越过后建立专业声誉时,要怎样得到网络公司的邀请?要怎样让 ,大伙越来越意识到,进行赏金计划我我觉得风险不小,不可控因素什么都什么都我少。

鉴于目前市场竞争激烈,赏金计划的经济具体情况一片混乱。可利用的零日漏洞(指被发现后可不前要立即被恶意利用的安全漏洞)可不前要从要花费的买家那里获得高达数百万美元的收益。任何人发现一有一个关键漏洞,他都可不前要选着不报给供应商,什么都什么都我尝试以更高的价格出售给我每人个。书中建议,重点应该放在要怎样激励黑客把漏洞直接报给供应商,但到底该要怎样实施书中越来越提到。目前越来越证据表明,漏洞攻防双方谁出价更高,程序员就把发现的漏洞信息卖给谁。大伙认为,有无把漏洞报给供应商更多的是一有一个道德间题。

越来越,现在谁会被激励去参与赏金计划呢?有有一个群体:一有一个是经济上相对弱势的国家的国民,大伙可不前要利用美元汇率牟利;曾经是学生群体,可不前要借此提升网络安全技能和学习行业工具。读了《修复漏洞》过后,我不认为行业精英有足够的动力参加漏洞赏金计划。或许你你这人人应该运用我每人个的力量向市场提出更多的要求。