程序员福利:那些可以发家致富的找bug游戏
去年发生了这样一件趣事:有一程序员,去年发现他在 非死book 上可以删除任何人的照片,于是报告给了 非死book 有关部门,然有关部门回复说,这个是无效的 bug (invalid report)。于是,该程序猿回家后就清空了扎克伯格的照片集,然后有关部门通知他说,你这个是有效 bug,可以来领奖金了。
找 Bug 拿奖金?的确如此。硅谷很多大公司都有项目鼓励用户报告他们发现的 Bug,最近奇虎 360 和腾讯的两位员工已经分别拿到了微软的 1 万和 4.5 万奖金。以下是部分“大家来找茬”项目:
#1 非死book bug bounty
非死book 在 2014 年共收到 17011 个 bug 报告,共颁发了 130 万美金给全球 65 个国家的 321 名提交者,其中 61 个 bug 被认为高危漏洞。非死book 对每一个有效 bug 的最低赏金是 500 美元,并根据 bug 的危险程度增加奖励金额。2014 年的获得奖金最多的 5 个人,共拿走了近 26 万美金 ($256,750)。
#2 Google Bughunter University
Google Bughunter University (谷歌找茬大学)给出了详细的找 bug 分级指导和相应的赏金,如下图。有效 bug 奖励 100 美元至 2 万美元不等,危险性越高的 bug 获得的赏金越多。从图中可以看出,谷歌重点鼓励的还是技术含量高的可以从远程成功实施的对谷歌账户和应用的攻击,赏金为 2 万美元/bug。
下图是 2014 年全球提交的 bug 统计。虽然有很多提交者打了酱油(绿色部分),但高危的漏洞也不少:
这是各级别的奖励总额统计图,纵轴是奖励级别,横轴是金额:
虽然 Google 没有公布总共发了多少钱出去,不过从上图来看,似乎拿到 1 万和 2 万美元奖金的人不多啊,是因为 Google 觉得自己的 Bug 比 非死book 少吗?不知道前几天发生的“谷歌一不小心把 Google.com 域名给卖了,售价为 12 美元”这个 Bug 的发现者能获得多少奖金......
#3 Microsoft Bounty Programs
微软公司的大家来找茬项目叫做 Microsoft Bounty Program,自 2013 成立以来已经发放了 50+ 万奖金。微软把获奖者的名单也公布了出来,并且按类别做了区分。这个目前有三个子项目,分别是 (1) Online Services Bug Bounty,有效 bug 奖励 500 至 1.5 万美元。(2) Mitigation Bypass Bounty,真的有效的 bug 奖励封顶金额为 10 万美元。(3) Bounty for Defense,同样,真的有效的 bug 奖励封顶金额为 10 万美元,像国内网络安全大佬、“妇科圣手”@tombkeeper 就拿到过微软的 10 万元奖金。
我们看下都谁拿到了奖金呢?下图是微软网站上公布的部分获奖名单。
Mitigation Bypass 的奖金真的不菲,HP 有团队(HP)拿走了 12.5 万美元的奖金,国内安全公司绿盟(NSFOCUS)也有不少收获,Google 有两位分别拿走了 2.5 万美金。然后我们发现,@tombkeeper 在跳槽腾讯后又拿了 4.5 万美元的奖金,不愧是获奖专业户...
程序猿们,找 Bug 也可以致富,你还等什么呢?