在最近一个聚会上雷锋网编辑了解到这样一个趣事:有一(bu)朋(ren)友(shi),去年发现他在Facebook上可以删除任何人的照片,于是报告给了Facebook有关部门,然有关部门回复说,这个是无效的bug (invalid report)。于是,该程序猿回家后就清空了扎克伯格的照片集,然后有关部门通知他说,你这个是有效bug,可以来领奖金了。
找Bug拿奖金?的确如此。硅谷很多大公司都有项目鼓励用户报告他们发现的Bug,最近奇虎360和腾讯的两位员工已经分别拿到了微软的1万和4.5万奖金。以下是部分“大家来找茬”项目:
#1 Facebook bug bounty
Facebook在2014年共收到17011个bug报告,共颁发了130万美金给全球65个国家的321名提交者,其中61个bug被认为高危漏洞。Facebook对每一个有效bug的最低赏金是500美元,并根据bug的危险程度增加奖励金额。2014年的获得奖金最多的5个人,共拿走了近26万美金($256,750)。
#2 Google Bughunter University
Google Bughunter University(谷歌找茬大学)给出了详细的找bug分级指导和相应的赏金,如下图。有效bug奖励100美元至2万美元不等,危险性越高的bug获得的赏金越多。从图中可以看出,谷歌重点鼓励的还是技术含量高的可以从远程成功实施的对谷歌账户和应用的攻击,赏金为2万美元/bug。
下图是2014年全球提交的bug统计。虽然有很多提交者打了酱油(绿色部分),但高危的漏洞也不少:
这是各级别的奖励总额统计图,纵轴是奖励级别,横轴是金额:
虽然Google没有公布总共发了多少钱出去,不过从上图来看,似乎拿到1万和2万美元奖金的人不多啊,是因为Google觉得自己的Bug比Facebook少吗?不知道前几天发生的“谷歌一不小心把Google.com域名给卖了,售价为12美元”这个Bug的发现者能获得多少奖金......
#3 Microsoft Bounty Programs
微软公司的大家来找茬项目叫做Microsoft Bounty Program,自2013成立以来已经发放了50+万奖金。微软把获奖者的名单也公布了出来,并且按类别做了区分。这个目前有三个子项目,分别是(1)Online Services Bug Bounty,有效bug奖励500至1.5万美元。(2)Mitigation Bypass Bounty,真的有效的bug奖励封顶金额为10万美元。(3)Bounty for Defense,同样,真的有效的bug奖励封顶金额为10万美元,像国内网络安全大佬、“妇科圣手”@tombkeeper 就拿到过微软的10万元奖金。
我们看下都谁拿到了奖金呢?下图是微软网站上公布的部分获奖名单。
Mitigation Bypass的奖金真的不菲,HP有团队(HP)拿走了12.5万美元的奖金,国内安全公司绿盟(NSFOCUS)也有不少收获,Google有两位分别拿走了2.5万美金。然后我们发现,@tombkeeper在跳槽腾讯后又拿了4.5万美元的奖金,不愧是获奖专业户...
程序猿们,找Bug也可以致富,你还等什么呢?
(本文作者:Emily Chen,邮件:emilychen@leiphone.com)