【獵云網(wǎng)（微信號(hào)：ilieyun）】1月19日?qǐng)?bào)道 （編譯：一晌貪歡）

程序員要是通過“漏洞賞金計(jì)劃”(網(wǎng)絡(luò)公司給予報(bào)告其安全漏洞的程序員以現(xiàn)金獎(jiǎng)勵(lì))來謀生，就好比普通人把玩德州撲克當(dāng)生活來源，這難度可不低。麻省理工出版的《網(wǎng)絡(luò)安全新解決方案》，其中一個(gè)章節(jié)《修復(fù)漏洞：漏洞的勞動(dòng)力市場(chǎng)》擺出數(shù)據(jù)說明，通過“漏洞賞金計(jì)劃”賺錢很難。賞金計(jì)劃和財(cái)富分配以及其它社會(huì)學(xué)現(xiàn)象一樣，都遵循帕累托分布(指極少的人口擁有大部分財(cái)產(chǎn))的規(guī)則。數(shù)量最多、質(zhì)量最高的安全漏洞報(bào)告來自于很少一部分程序員，當(dāng)然賞金計(jì)劃的絕大部分獎(jiǎng)金也由他們獲得。而剩下的大部分參與者只能瓜分很少比例的獎(jiǎng)金。

《修復(fù)漏洞》并沒有鼓勵(lì)軟件公司通過賞金計(jì)劃來改進(jìn)它們的安全系統(tǒng)。HackerOne是一個(gè)進(jìn)行該計(jì)劃的公司，它宣稱已經(jīng)有超過30萬(wàn)人簽署了幫助其提高安全性的協(xié)議。有30萬(wàn)雙眼睛仔細(xì)查看你的代碼，這聽起來是不錯(cuò)，可是這個(gè)數(shù)字也包括僵尸帳戶和那些從來沒有發(fā)現(xiàn)過漏洞的人。實(shí)際上，只有少數(shù)頂級(jí)程序員才能發(fā)現(xiàn)漏洞并因此獲得現(xiàn)金回報(bào)。

對(duì)此，有外媒表示，對(duì)于公司來說，不會(huì)把自己的網(wǎng)絡(luò)安全只寄希望于一個(gè)高效的程序員，而且還不知道他是否能有足夠的業(yè)余時(shí)間為公司工作。

那為什么不干脆聘請(qǐng)這些網(wǎng)絡(luò)安全高手來公司做安全顧問呢?《修復(fù)漏洞》的作者認(rèn)為，應(yīng)該用賞金計(jì)劃來激勵(lì)程序員中的精英。如果該計(jì)劃只針對(duì)受邀程序員，對(duì)于管理瑣碎的、不重要的、重復(fù)的漏洞，可以降低其運(yùn)營(yíng)成本。(只有4-5%來自谷歌、Facebook和GitHub對(duì)公的賞金計(jì)劃才有獎(jiǎng)金。)據(jù)作者說，為數(shù)不多的優(yōu)秀漏洞獵人是不可或缺的人才，也是他們才有能力推動(dòng)賞金計(jì)劃這個(gè)市場(chǎng)的發(fā)展?；诖?，在可控制的條款和條件下雇用他們來做安全顧問似乎更實(shí)際。

數(shù)據(jù)正在動(dòng)搖漏洞賞金計(jì)劃

在書中，F(xiàn)acebook資助的獨(dú)立研究人員仔細(xì)研究了以下兩個(gè)漏洞賞金計(jì)劃的數(shù)據(jù)：1)61個(gè)HackerOne項(xiàng)目，覆蓋周期超過23個(gè)月;2)Facebook項(xiàng)目逾45個(gè)月的數(shù)據(jù)。 HackerOne數(shù)據(jù)組包括來自Twitter、Square、Slack、Coinbase、Flash等的獎(jiǎng)勵(lì)程序。HackerOne數(shù)據(jù)組的能夠跨項(xiàng)目跟蹤用戶名，但Facebook數(shù)據(jù)組不能。

贊(0)