脸书漏洞猎人每月平均发现0.87个漏洞，平均年薪为3.4万美元

你想要从事“漏洞猎人”（Bounty Hunter）的工作并以抓漏为生吗？由MIT资安专家所撰写的《资安新解决方案》（New Solutions for Cybersecurity）一书中指出，以脸书的抓漏专案为例，漏洞猎人每个月平均只抓到0.87个漏洞，每年的平均薪资为34,255美元（106万元新台币），在台湾，你可能觉得这个薪资还不错，但此一数字是来自于排名在前1%的漏洞猎人。

《资安新解决方案》一书中有个章节为〈漏洞的人力市场〉（Fixing a Hole: The Labor Market for Bugs），描绘了抓漏市场的现况，作者认为漏洞猎人的薪资并不足以吸引真正的人才投入，而34,255美元的年薪甚至低于美国密西西比州的害虫防治工作者，代表消灭真正的臭虫比找出程式上的臭虫还值钱。

该书分析了脸书与HackerOne上的抓漏奖励专案，发现只有7%的漏洞猎人找出了10个或以上的安全漏洞，而获得1,622笔奖金，另外的93%则只获得了2,523笔奖金。

如果只看脸书上的抓漏奖励专案，脸书上前1%（7人）的漏洞猎人平均每个月找到0.87个漏洞，平均年薪为34,255美元。在HackerOne上的专案更惨，前1%（6人）平均每个月找到1.17个安全漏洞，平均年薪为16,544美元（约51万元新台币）。

资安部落格Trail of Bits认为，他相信这些优秀的漏洞猎人其实具备了团队的资源，或者是专精于某类别漏洞的个人，而且随时观察相关类别的抓漏专案。

作者则建议企业最好采用邀请式的抓漏专案，以降低专案的管理成本，例如在Google、脸书或GitHub所祭出的公开抓漏专案中，参与者所提交的漏洞只有4~5%的比例是合格的。

此外，作者亦试图归纳这些杰出漏洞猎人的特色，指出他们应该本来就拥有天分，亦不断地在精进自己的技术，不但拥有抓漏的专业，也热爱抓漏，但不论如何，他们都需要更多的激励才会加入抓漏专案。至于目前的抓漏专案主要吸引两类人，一是处于经济劣势国家的居民，二则是希望改善安全技术的学生族群。