截至 2020 年 5 月 底，HackerOne平臺宣布，已經(jīng)向全世界的白帽子們支付了 1 億美元的賞金。

該賞金是給予白帽子們發(fā)現(xiàn)并向組織報告了有效安全漏洞的獎勵，以便各公司和機構(gòu)可以更加安全地解決各項網(wǎng)絡(luò)問題。

《2020 黑客報告》表明：白帽子作為一種可行的職業(yè)概念已經(jīng)成為現(xiàn)實，有 18%的人將自己描述為全職白帽子，尋找網(wǎng)絡(luò)漏洞并為所有人提供更安全的互聯(lián)網(wǎng)系統(tǒng)。

該年度報告對漏洞賞金和漏洞披露生態(tài)系統(tǒng)進行了研究，詳細的介紹了以 HackerOne為代表的黑客社區(qū)中的 170 個國家/地區(qū)的白帽子們的努力和動機：致力于在 HackerOne 平臺上保護多家公司和政府機構(gòu)。

HackerOne 首席執(zhí)行官馬爾滕·米科斯 (Makerten Mickos) 自豪地宣布：“自從開始向客戶提供漏洞報告以來，HackerOne 漏洞賞金獵人已經(jīng)發(fā)現(xiàn)了約 17 萬個安全漏洞。”

財報數(shù)據(jù)顯示，HackerOne 支付給白帽子們的報酬總額不斷的上升，從 2013 年 10 月(HackerOne 開始支付賞金的第一個月)向全球白帽子支付的 30,000 美元到 2020 年 4 月向白帽子支付的 590 萬美元，這個創(chuàng)紀錄的里程碑展示了世界上最大的黑客社區(qū)是如何來填補我們互聯(lián)網(wǎng)社會日益增長的安全需求。

另外，向 HackerOne 提交安全漏洞報告的白帽子中，12% 的人每年僅通過漏洞獎勵就能獲得超過 2 萬美元的收入，而 1% 的人每年能獲得價值超過 35 萬美元的獎勵，3% 的人每年能獲得超過 10 萬美元的獎勵。

通過調(diào)查兩年前在 HackerOne 平臺上注冊的 1700 多名漏洞賞金獵人的報告顯示：在同一個國家，頂尖白帽子的平均薪酬將是軟件工程師平均薪酬的 2. 7 倍。

[[328361]]

全球黑客社區(qū)高級總監(jiān)盧克·塔克(Luke Tucker)說：”白帽子是造福全球的力量，他們共同努力確保我們互聯(lián)網(wǎng)社會的安全，社區(qū)歡迎所有樂于接受知識和熱愛挑戰(zhàn)的人們，用創(chuàng)造性來克服局限性。“

不斷增長的白帽子們用積極的力量匯集了防御數(shù)據(jù)泄露的能量，減少了網(wǎng)絡(luò)犯罪，保護了人們的隱私并恢復(fù)了我們對數(shù)字社會的信任。

來看看這次邁向 1 億美元旅程的亮點：

• 84：即該平臺每小時簽署新白帽子的數(shù)量
• $6000：平臺上每隔一小時支付的懸賞金額
• 214%：同期白帽子的增長比例
• 85.6 %：賞金總額的同比增長，尤其自 2 月份宣布 COVID-19 大流行以來，賞金總額增長了 17.5%。
• 343%：在Hacker101 上過去一年申請人數(shù)的增加
• 38%：自 2 月份宣布 COVID-19 大流行以來，在Hacker101上平均每周新注冊數(shù)的增加。
• 超過170,000：在近 2000 個客戶程序中發(fā)現(xiàn)的白帽子數(shù)量

馬爾滕·米科斯 (Makerten Mickos)說：“我們正在建立一個社區(qū)，能夠測試和審查我們數(shù)字連接文明的每一個方面。1 億美元的數(shù)字吸引了最優(yōu)秀的白帽子，為公司和政府大大降低了數(shù)據(jù)泄露的風(fēng)險。在這個不斷發(fā)展的新世界中，取得成功唯一的方法就是變得透明，開放的擁抱白帽子們是通往前進的道路。”

米科斯Mickos 還分享了對未來的預(yù)測：

• 白帽子將在五年內(nèi)通過 HackerOne 獲得 10 億美元的漏洞賞金。
• 預(yù)計未來 15 年內(nèi)，將從我們的白帽子隊伍中培養(yǎng)出 500 多名首席信息安全官(CISO)。
• HackerOne 社區(qū)中將會產(chǎn)生更多杰出的安全專家，來填補該行業(yè)的人才缺口，這些熟練且有進取心的人將會幫助商業(yè)企業(yè)和政府機構(gòu)減少網(wǎng)絡(luò)風(fēng)險。

[[328362]]

每一分鐘，全球的白帽子都在和公司齊心協(xié)力來增強它們的安全性。

精英白帽子 Frans Rosen 反映：“我最喜歡的是與人們互動，尤其是他們對漏洞的反應(yīng)。比如當(dāng)我制作一個小游戲來顯示某公司漏洞的影響，該公司的 CISO 在深夜打電話給我來詳細了解漏洞的情況，當(dāng)我感受到他對漏洞的嚴重恐慌時，會覺得自己的付出很有成就感。”

企業(yè)一直在尋求增長：擴展新市場，交付新產(chǎn)品和服務(wù)，增加新客戶，發(fā)布移動產(chǎn)品，采用新的付款方式，增加 Web 資產(chǎn)等等。但每次產(chǎn)生新變化，都會添加新的一層攻擊面。

所以對于公司而言，與最大最活躍的白帽子社區(qū)合作可以使他們以更有效的方式采取主動安全策略。

同時對白帽子們而言，通過與有合作意向的組織合作，來作為該組織安全團隊的延伸，比他們在自己國家擔(dān)任軟件工程師時的收入高出 36%。

很顯然，這是一件雙贏的好事。

在我國也不例外，今年4月份騰訊也與 HackerOne 達成合作，在 HackerOne 上注冊的安全測試人員中，有超過 60 萬人可以加入騰訊的漏洞賞金計劃，尋找該公司產(chǎn)品中的漏洞。

[[328363]]

HackerOne 社區(qū)可以訪問由騰訊安全響應(yīng)中心(TSRC)對外部托管的騰訊公共漏洞賞金計劃。

騰訊將利用 HackerOne 的平臺進行賞金支付，所有獎勵金額都由騰訊(與白帽協(xié)商)決定。

HackerOne 上的安全研究人員可以根據(jù)騰訊的漏洞賞金支付信息頁面提示，通過 Coinbase 使用 Paypal，Currency Cloud(銀行轉(zhuǎn)賬)和比特幣等各種支付方式進行支付。除了賞金以外，研究者還將獲得 HackerOne 信譽積分(每個報告+7 積分，以及與漏洞嚴重性相關(guān)的其他積分)。

據(jù)報道，對于符合騰訊產(chǎn)品的有效漏洞，白帽子可以獲得最高達 15000 美元的獎勵。

騰訊安全響應(yīng)首席運營官朱菊菊說：

ackerOne查看《TSRC Bug 賞金計劃》的政策頁面。