由安全公司TippingPoint发起的“零Day出击”漏洞购买计划公布的统计数据表明,在漏洞挖掘领域活跃着相当数量自由职业的研究人员,他们年轻而保守自己的职业道德。
从两年前“零Day出击”计划启动至今,有超过600名研究人员向这个计划提供了1000多个安全漏洞。平均每周有40个漏洞提交上来,大概有10%经过技术人员评定后被接受。这些提交漏洞的研究人员大都是20多岁的年轻人,并且只有40%的人是安全公司的从业人员,其它都是自由职业的漏洞挖掘者。从事漏洞挖掘的人数最多的五个国家是:美国、英国、德国、巴西和印度。
大多数的研究人员都称自己会遵守职业道德,只有不到10%的被调查者说他们会把漏洞拿到黑市去卖,去赚取更多的钱。
“一个公司已经提出要花大价钱购买我手中的一个零Day漏洞,但是我婉言拒绝了他们,因为我无法预测这个漏洞带来的危害,并且卖出这个漏洞,只能破坏软件产业的安全性。”一个接受调查的研究人员说道。
自从iDefense的“漏洞贡献”计划在2002年流产后,漏洞购买行为已经越来越流行,并且已经不再像以前那样饱受争议。一方面,一些安全研究人员为自己发现的漏洞在黑市里寻找买主,以求卖个好价钱。另一方面TippingPoint和iDefense等安全公司发起的类似“零Day出击”这样的漏洞购买计划也很受研究人员欢迎,这些公司会把漏洞信息公布,使得软件公司能够及时升级软件,修复漏洞。最近甚至出现了WabiSabiLabi这样一个漏洞拍卖网站,安全研究人员可以把自己发现的漏洞放到上面,卖个好价钱,这种模式的出现也使得另外一些原本不愿意出卖漏洞的研究人员陷入苦恼中。
接受TippingPoint公司调查的安全研究人员大都有稳定的经济收入,不需要依靠发现漏洞得到的收入来维持生活,尽管有些接受调查的安全研究人员承认通过漏洞挖掘可以大大提高他们的经济收入。(