查找安全漏洞的道德黑客工作似乎比一般的软件工程更赚钱,尽管不太常见。
虽然厂商付钱仍然是破解代码的首要原因之一,但黑客们已开始为自己的活动列举更热心公益的理由。
安全公司HackerOne对来自195个国家和地区的1700名漏洞赏金猎人进行了一项调查,结合该公司关于900项漏洞悬赏计划的数据,结果发现白帽黑客所赚的中位数薪水是其所在国家的普通软件工程师的2.7倍。
而在一些地方,差距要明显得多。比如在印度,黑客的中位数薪水居然是程序员的16倍。在美国,黑客的中位数薪水是程序员的2.4倍。
HackerOne的薪水数字源于来自PayScale的数据。印度软件工程师的中位数年薪是6418美元,美国是81193美元。
HackerOne公司的沟通主管Lauren Koszarek近日告诉媒体:“漏洞悬赏计划流行起来,这给黑客们带来了赢取竞赛奖金,提高互联网安全性的大好机会。”
“HackerOne的数据显示,收入丰厚的黑客其薪水高于所在国家的软件工程师的平均薪水,这表明了需要安全人才、这些黑客报告的漏洞的质量以及黑客致力于消除漏洞的决心。”
经济因素
计算机安全漏洞档案管理员Troy Hunt在报告中认为,寻找漏洞不存在地域方面的障碍,这使得经济因素更具吸引力。
他说:“凡事都考虑投资回报;如果黑客所在市场的平均收入只是赏金的一个零头,寻找漏洞大有回报。这使得赏金极具吸引力,吸引你想要的那些人才关注你的安全系统。”
据HackerOne声称,2016年,黑客活动的首要原因是为了图钱。然而,该公司的最新数据暗示道德在觉醒,或者至少希望别给人很贪婪的感觉。
黑客在解释其动机时常常提到提高技能(14.7%)、找乐子(14%)以及接受挑战(14%),这几个因素都高于赚钱(13.1%)。
此外是职场晋升(12.2%)、保护和捍卫系统(10.4%)、做好事(10%)、帮助别人(8.5%)以及炫技(3%)。
但过于看重利他主义是个错误。回答这个问题“你为什么选择那些公司来攻击?”时,23%的人提到了赏金。之外,最常见的态度是接受挑战或有机会学习(20.5%),其次是对某家公司有好感(13%)。
据调查声称,约12%的黑客每年靠漏洞赏金至少赚到2万美元,约3%的黑客赚到10多万美元,1.1%的黑客赚到逾35万美元。所以,大多数的赏金猎人依赖其他收入来源。
大部分赏金发给了美国境外的人,约37%的调查对象称,他们搞黑客活动是一种爱好;约四分之一的黑客表示,至少有一半的收入靠赏金;约13.7%的黑客表示,每年收入当中90%至100%来自查找漏洞所得的奖金。
收入差异也许一方面可以解释为什么90%以上的黑客不到35岁,年轻人往往承担得了时间和风险来从事这类投机性活动;年龄稍长的黑客常常对别人负有义务,往往没多少时间花在爱好上,更需要稳定的薪水。
积极的教育
另外值得注意的是,58%的黑客表示,他们的黑客技能是自学来的,即使其中大约一半在本科生或研究生阶段学过计算机专业,四分之一多点的人在高中或更早的时候学过计算机。
寻找漏洞的市场似乎有很大的扩展空间。《福布斯》全球2000强企业中只有6%有漏洞悬赏计划。报告称,因此,由于受影响的公司没有报告漏洞的渠道,将近四分之一的黑客选择不报告漏洞。
Koszarek说:“这还是个比较新颖的概念。之前推行漏洞悬赏计划的主要是像谷歌、微软和Facebook这样的大公司,它们拥有比普通公司更多的资源。”
Koszarek表示,采用漏洞悬赏或漏洞披露计划的公司在去年几乎数量翻番。法律问题仍是一些公司接受这个概念所面临的障碍。Koszarek建议,公司法务团队需要一开始就参与进来,划定漏洞悬赏计划的范围。
她说:“这不仅帮助企业为这类计划维持清晰的法律准则,还有助于引导道德黑客关注你希望他们关注的方面,并保持合理的期望……”
原文标题:Hehe, still writing code for a living? It's 2018. You could be earning x3 as a bug bounty hunter,作者:Thomas Claburn
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】