示意圖,與新聞事件無關。

圖片來源: 

維基共享資源;作者:Jericho

你想要從事「漏洞獵人」(Bounty Hunter)的工作並以抓漏為生嗎?由MIT資安專家所撰寫的《資安新解決方案》(New Solutions for Cybersecurity)一書中指出,以臉書的抓漏專案為例,漏洞獵人每個月平均只抓到0.87個漏洞,每年的平均薪資為34,255美元(106萬元新台幣),在台灣,你可能覺得這個薪資還不錯,但此一數字是來自於排名在前1%的漏洞獵人。

《資安新解決方案》一書中有個章節為〈漏洞的人力市場〉(Fixing a Hole: The Labor Market for Bugs),描繪了抓漏市場的現況,作者認為漏洞獵人的薪資並不足以吸引真正的人才投入,而34,255美元的年薪甚至低於美國密西西比州的害蟲防治工作者,代表消滅真正的臭蟲比找出程式上的臭蟲還值錢。

該書分析了臉書與HackerOne上的抓漏獎勵專案,發現只有7%的漏洞獵人找出了10個或以上的安全漏洞,而獲得1,622筆獎金,另外的93%則只獲得了2,523筆獎金。

如果只看臉書上的抓漏獎勵專案,臉書上前1%(7人)的漏洞獵人平均每個月找到0.87個漏洞,平均年薪為34,255美元。在HackerOne上的專案更慘,前1%(6人)平均每個月找到1.17個安全漏洞,平均年薪為16,544美元(約51萬元新台幣)。

資安部落格Trail of Bits認為,他相信這些優秀的漏洞獵人其實具備了團隊的資源,或者是專精於某類別漏洞的個人,而且隨時觀察相關類別的抓漏專案。

作者則建議企業最好採用邀請式的抓漏專案,以降低專案的管理成本,例如在Google、臉書或GitHub所祭出的公開抓漏專案中,參與者所提交的漏洞只有4~5%的比例是合格的。

此外,作者亦試圖歸納這些傑出漏洞獵人的特色,指出他們應該本來就擁有天份,亦不斷地在精進自己的技術,不但擁有抓漏的專業,也熱愛抓漏,但不論如何,他們都需要更多的激勵才會加入抓漏專案。至於目前的抓漏專案主要吸引兩類人,一是處於經濟劣勢國家的居民,二則是希望改善安全技術的學生族群。


Advertisement

更多 iThome相關內容