不断以来，破绽悬赏对顺序员来说都更像是茶余饭后的消遣，但随着微软破绽奖金提升方案到 25 万美元，开端有人担忧疾速收缩的奖金会为年老的网络平安研讨者带来错误的鼓励，此举更是会歪曲白帽子市场的次序。

“假如挖个破绽就能赚的盆满钵满，恐怕就没人会专心修复破绽了。”平安研讨者 Katie Moussouris 说道，她就是微软首个破绽赏金项目的担任人。

“那些本来在公司里赚工资搞代码维护的人如今都坐不住了，他们纷繁转行成了全职的挖破绽的白帽子，靠奖金来养活本人。” Moussouris 总结道。

“选择做黑客虽然动机各不相反，但大少数都受三个要素影响。”她解释道。其中包括经济补偿、同行认可和追求智力上的快感。也就是说，走上黑客之路一定有一局部缘由是出于喜好。

除了在破绽悬赏界的丰厚经历，Moussouris 还专门花了几年工夫来剖析数据，主题就与破绽赏金项目和市场的其他特点有关。后果显示， 防卫型破绽市场曾经高度等级化，那些挖破绽技巧致臻化境的一小局部黑客拿走了大局部赏金，其别人能跟着喝喝汤就不错了。

雷锋网理解到，赏金项目经理 HackerOne 提供的数据集显示， 占参与总数 5% 的白帽子发现了 23% 的破绽 ，而 Facebook 等公司运营的破绽赏金项目也出现出这样的趋向。

在这样的市场气氛下，怎样会有人情愿放下能赚大钱的挖破绽赚赏金时机，转去公司挣死工资呢？

风险溢价

在美国，“一位才气横溢的破绽发掘者一年找到多个价值 10 万美元的 Bug 并非不能够，也就是说，光靠吃赏金他就能赚到 50-100 万美元。”平安架构师 Alex Ionescu 说道。不过他还加了一句，那就是 想靠赏金吃饭，风险和本钱也相当可观。

首先，虽然宣传说赏金高达 10 万美元，但通常这是下限，黑客很难拿到这个数。其次，“值这个价的破绽可并非满地都是，即便技术高明，能够也要花数月甚至数年来寻觅。”而且别忘了，参与赏金项目的可不是一位黑客，假如他人率先找到破绽，你数个月的努力能够就会前功尽弃。别忘了，厂商也在积极寻觅破绽，而它们比黑客们更理解本人的产品。

此外，假如你要靠破绽赏金过活， 还得思索本人的医疗保险和养老金等成绩。

在美国，究竟呼吁行业者在政府部门出台相关政策标准的之前，从业者一定要规范自己的行为准则健康有序的快速发展。选择那条路还是看团体，毕竟在公司可以有本人的社交并学着与别人协作和互相学习，不过对有些人来说这些所谓的益处他们并不在意。

综合各种要素来说，Ionescu 以为 在美国假如一年赚不到 50-100 万美元的赏金，你还是保持专职做破绽发掘者的想法吧。

黑市是个什么状况？

雷锋网发现，假如你情愿毁坏品德底线，将发现的破绽卖给立功组织或情报机构，在黑市上拿 50-100 万美元的赏金并不难。

消费者结合会隐私与技术政策主管 Justin Brookman 指出，“防御型”市场的钱袋子可比进攻型或白帽市场鼓的多。不过，做这种黑心活可得不到什么公共认同，一些破绽发掘者也会觉得这种灰色范畴还是不碰为好。

在 Ionescu 看来，白帽子市场的错误鼓励其实并非那些奖池宏大的破绽赏金项目。相反， “蚊子肉”项目带来的影响更坏，它让许多印度和中国挖破绽的人上了“贼船”。

也就是说，高薪国度派出的义务能够会被经济不兴旺国度的黑客领走，对他们来说这些“蚊子肉”赏金能够也是巨款。假如这种状况持续下去，能够会对教育和失业的均衡发生严重影响。

最初，Brookman 指出， 科技公司不应该只把钱投在破绽赏金项目上，它们更应该寻觅如何设计没有破绽产品的方式。 “至多从如今来看，它们的钱和资源并没有用在前端代码的纠正上，这才招致了后续破绽的接连呈现。”Brookman 解释道。

雷锋网 (大众号：雷锋网) Via.  CyberScoop

。