freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

话题讨论 | 国内白帽子“生存”现状
2020-04-22 13:10:46

DeVoss现在每月工作约10-40个小时,去年他有了903000美元的收入。

对于一个已经拥有稳定、高薪的工作并且可能有几个孩子的人来说,将挖洞作为全职工作并不是最好的选择。

这些都是上周FreeBuf网站上发布的一篇编译文章《全职漏洞猎人的故事》中提及的种种观点,而这些描述也让我们好奇,相比国外”全职漏洞猎人“,国内白帽子的生活/生存现状如何?

全职白帽几乎为0,漏洞奖励是关键

@ziluobu

全职只有黑客,应该没有白帽子,否则他指啥活。

@白河·愁

水平都能全职了,找个工作不比专职挖洞赚的多?

@对酒当歌人生几何

一句话钱少,活多,离家远?

@米怀特

最近也在关注相关问题,国内披露的漏洞危害和奖金比例差异略大。比如某Weblogic漏洞在不同平台的漏洞评分差很多。

@煜阳yuyang

之前我看国内一哥们儿“挖”某知名互联网大厂,最后一个高危就给了他一条纪念围巾,钱都没有。

漏洞奖励问题一直以来都是国内白帽子的痛,虽然很多白帽子开始挖洞都是因为兴趣和爱好,但他们认为自己付出的努力(在挖洞上投入的时间与精力)没有得到对等的漏洞奖励回报,仅凭一股热血很难长久地坚持。

首先学会“浪费时间”

@少帅力

白帽子提交漏洞太难了,重复提交漏洞多,人家不承认漏洞然后默默修复了,时间价值很低。

随着白帽子人群基数的扩大,挖洞的竞争变得更为激烈。白帽子挖洞除了技术能力、学习能力,有时候还要看点运气,比如好不容易挖到一个漏洞结果别人捷足先登了,那意味着为了这个漏洞所付出的努力都付诸一炬(除了过程中能力得到锻炼)。

拒绝“利益诱惑”

@煜阳yuyang

还是利益差距太大了,如果利益差距不明显谁也犯不着做那危险的事情。

@达芬奇Davinci

想单干的,有那个胆子的,有那个技术的,直接灰产。前几年有个黑灰产公司,你去加盟,人老板劳斯莱斯接待。

相比白帽子的漏洞奖励,从事黑灰产的收入要高得多,这种利益差距导致存在一部分人从事涉及黑灰产业的现象。

职业发展:网络安全需要大量的优秀白帽子

@达芬奇Davinci

有个上班族小朋友,就喜欢研究XSS,后来研究到比较前沿。给百度,新浪等各个大厂弹一遍。每个月20K兼职收入。但是,很少有人职业发展能一直干技术,到了四五十岁还做渗透吗?

@ziluobu

现在很多事情要团队做的,测评公司,评估公司,等保公司,大互联网公司都需要安全人才。渗透测试的人才是不可或缺的,因为安全服务要做的好,没有渗透人才以黑客视角去测试的话,是做不好安全服务的。

从技术转向管理岗是大多数IT人员,包括从事网络安全行业的人的职业规划。对于白帽子来说,凭借挖洞、渗透积累的工作经验,加入一家大公司的安全团队,似乎是一个更好的选择,而对于很多企业来说,对于白帽子的人才需求也是一直存在并增长的。

从漏洞奖励、挖洞经历、成长环境各个方面来看国内白帽子的“生存”现状,你还有什么想说的,评论区一起讨论吧!

本文作者:, 转载请注明来自FreeBuf.COM

# 白帽子 # 现状 # 话题讨论
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑