臉書漏洞獵人每月平均發現0.87個漏洞，平均年薪為3.4萬美元

你想要從事「漏洞獵人」（Bounty Hunter）的工作並以抓漏為生嗎？由MIT資安專家所撰寫的《資安新解決方案》（New Solutions for Cybersecurity）一書中指出，以臉書的抓漏專案為例，漏洞獵人每個月平均只抓到0.87個漏洞，每年的平均薪資為34,255美元（106萬元新台幣），在台灣，你可能覺得這個薪資還不錯，但此一數字是來自於排名在前1%的漏洞獵人。

《資安新解決方案》一書中有個章節為〈漏洞的人力市場〉（Fixing a Hole: The Labor Market for Bugs），描繪了抓漏市場的現況，作者認為漏洞獵人的薪資並不足以吸引真正的人才投入，而34,255美元的年薪甚至低於美國密西西比州的害蟲防治工作者，代表消滅真正的臭蟲比找出程式上的臭蟲還值錢。

該書分析了臉書與HackerOne上的抓漏獎勵專案，發現只有7%的漏洞獵人找出了10個或以上的安全漏洞，而獲得1,622筆獎金，另外的93%則只獲得了2,523筆獎金。

如果只看臉書上的抓漏獎勵專案，臉書上前1%（7人）的漏洞獵人平均每個月找到0.87個漏洞，平均年薪為34,255美元。在HackerOne上的專案更慘，前1%（6人）平均每個月找到1.17個安全漏洞，平均年薪為16,544美元（約51萬元新台幣）。

資安部落格Trail of Bits認為，他相信這些優秀的漏洞獵人其實具備了團隊的資源，或者是專精於某類別漏洞的個人，而且隨時觀察相關類別的抓漏專案。

作者則建議企業最好採用邀請式的抓漏專案，以降低專案的管理成本，例如在Google、臉書或GitHub所祭出的公開抓漏專案中，參與者所提交的漏洞只有4~5%的比例是合格的。

此外，作者亦試圖歸納這些傑出漏洞獵人的特色，指出他們應該本來就擁有天份，亦不斷地在精進自己的技術，不但擁有抓漏的專業，也熱愛抓漏，但不論如何，他們都需要更多的激勵才會加入抓漏專案。至於目前的抓漏專案主要吸引兩類人，一是處於經濟劣勢國家的居民，二則是希望改善安全技術的學生族群。