[[217675]]

查找安全漏洞的道德黑客工作似乎比一般的軟件工程更賺錢，盡管不太常見(jiàn)。

雖然廠商付錢仍然是破解代碼的首要原因之一，但黑客們已開(kāi)始為自己的活動(dòng)列舉更熱心公益的理由。

安全公司HackerOne對(duì)來(lái)自195個(gè)國(guó)家和地區(qū)的1700名漏洞賞金獵人進(jìn)行了一項(xiàng)調(diào)查，結(jié)合該公司關(guān)于900項(xiàng)漏洞懸賞計(jì)劃的數(shù)據(jù)，結(jié)果發(fā)現(xiàn)白帽黑客所賺的中位數(shù)薪水是其所在國(guó)家的普通軟件工程師的2.7倍。

而在一些地方，差距要明顯得多。比如在印度，黑客的中位數(shù)薪水居然是程序員的16倍。在美國(guó)，黑客的中位數(shù)薪水是程序員的2.4倍。

HackerOne的薪水?dāng)?shù)字源于來(lái)自PayScale的數(shù)據(jù)。印度軟件工程師的中位數(shù)年薪是6418美元，美國(guó)是81193美元。

HackerOne公司的溝通主管Lauren Koszarek近日告訴媒體：“漏洞懸賞計(jì)劃流行起來(lái)，這給黑客們帶來(lái)了贏取競(jìng)賽獎(jiǎng)金，提高互聯(lián)網(wǎng)安全性的大好機(jī)會(huì)。”

“HackerOne的數(shù)據(jù)顯示，收入豐厚的黑客其薪水高于所在國(guó)家的軟件工程師的平均薪水，這表明了需要安全人才、這些黑客報(bào)告的漏洞的質(zhì)量以及黑客致力于消除漏洞的決心。”

經(jīng)濟(jì)因素

計(jì)算機(jī)安全漏洞檔案管理員Troy Hunt在報(bào)告中認(rèn)為，尋找漏洞不存在地域方面的障礙，這使得經(jīng)濟(jì)因素更具吸引力。

他說(shuō)：“凡事都考慮投資回報(bào)；如果黑客所在市場(chǎng)的平均收入只是賞金的一個(gè)零頭，尋找漏洞大有回報(bào)。這使得賞金極具吸引力，吸引你想要的那些人才關(guān)注你的安全系統(tǒng)。”

據(jù)HackerOne聲稱，2016年，黑客活動(dòng)的首要原因是為了圖錢。然而，該公司的最新數(shù)據(jù)暗示道德在覺(jué)醒，或者至少希望別給人很貪婪的感覺(jué)。

黑客在解釋其動(dòng)機(jī)時(shí)常常提到提高技能（14.7%）、找樂(lè)子（14%）以及接受挑戰(zhàn)（14%），這幾個(gè)因素都高于賺錢（13.1%）。

此外是職場(chǎng)晉升（12.2%）、保護(hù)和捍衛(wèi)系統(tǒng)（10.4%）、做好事（10%）、幫助別人（8.5%）以及炫技（3%）。

但過(guò)于看重利他主義是個(gè)錯(cuò)誤?；卮疬@個(gè)問(wèn)題“你為什么選擇那些公司來(lái)攻擊？”時(shí)，23%的人提到了賞金。之外，最常見(jiàn)的態(tài)度是接受挑戰(zhàn)或有機(jī)會(huì)學(xué)習(xí)（20.5%），其次是對(duì)某家公司有好感（13%）。

據(jù)調(diào)查聲稱，約12%的黑客每年靠漏洞賞金至少賺到2萬(wàn)美元，約3%的黑客賺到10多萬(wàn)美元，1.1%的黑客賺到逾35萬(wàn)美元。所以，大多數(shù)的賞金獵人依賴其他收入來(lái)源。

大部分賞金發(fā)給了美國(guó)境外的人，約37%的調(diào)查對(duì)象稱，他們搞黑客活動(dòng)是一種愛(ài)好；約四分之一的黑客表示，至少有一半的收入靠賞金；約13.7%的黑客表示，每年收入當(dāng)中90%至100%來(lái)自查找漏洞所得的獎(jiǎng)金。

收入差異也許一方面可以解釋為什么90%以上的黑客不到35歲，年輕人往往承擔(dān)得了時(shí)間和風(fēng)險(xiǎn)來(lái)從事這類投機(jī)性活動(dòng)；年齡稍長(zhǎng)的黑客常常對(duì)別人負(fù)有義務(wù)，往往沒(méi)多少時(shí)間花在愛(ài)好上，更需要穩(wěn)定的薪水。

積極的教育

另外值得注意的是，58%的黑客表示，他們的黑客技能是自學(xué)來(lái)的，即使其中大約一半在本科生或研究生階段學(xué)過(guò)計(jì)算機(jī)專業(yè)，四分之一多點(diǎn)的人在高中或更早的時(shí)候?qū)W過(guò)計(jì)算機(jī)。

尋找漏洞的市場(chǎng)似乎有很大的擴(kuò)展空間?！陡２妓埂啡?000強(qiáng)企業(yè)中只有6%有漏洞懸賞計(jì)劃。報(bào)告稱，因此，由于受影響的公司沒(méi)有報(bào)告漏洞的渠道，將近四分之一的黑客選擇不報(bào)告漏洞。

Koszarek說(shuō)：“這還是個(gè)比較新穎的概念。之前推行漏洞懸賞計(jì)劃的主要是像谷歌、微軟和Facebook這樣的大公司，它們擁有比普通公司更多的資源。”

Koszarek表示，采用漏洞懸賞或漏洞披露計(jì)劃的公司在去年幾乎數(shù)量翻番。法律問(wèn)題仍是一些公司接受這個(gè)概念所面臨的障礙。Koszarek建議，公司法務(wù)團(tuán)隊(duì)需要一開(kāi)始就參與進(jìn)來(lái)，劃定漏洞懸賞計(jì)劃的范圍。

她說(shuō)：“這不僅幫助企業(yè)為這類計(jì)劃維持清晰的法律準(zhǔn)則，還有助于引導(dǎo)道德黑客關(guān)注你希望他們關(guān)注的方面，并保持合理的期望……”

原文標(biāo)題：Hehe, still writing code for a living? It's 2018. You could be earning x3 as a bug bounty hunter，作者：Thomas Claburn

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】