Занимающиеся поиском уязвимостей топовые исследователи зарабатывают в среднем в 2,7 раза больше, чем рядовые программисты. Такие данные приводятся в 40-страничном отчете «2018 Hacker Report» компании HackerOne.
Свои выводы компания сделала на основе опроса, проведенного среди 1700 исследователей безопасности, зарегистрированных на платформе HackerOne. Разница в размерах зарплаты и вознаграждений за обнаруженные уязвимости отличаются в зависимости от страны. Тем не менее, как показывает исследование, поиск уязвимостей приобретает большую популярность в качестве постоянной профессии. Особенно это касается менее развитых стран, где bug bounty помогает талантливым программистам обрести финансовую независимость.
Лучше всего «баг хантеры» живут в Индии, где топовые исследователи безопасности могут зарабатывать в 16 раз больше по сравнению с рядовыми программистами. На втором месте находится Аргентина, где размер вознаграждений в рамках bug bounty превышает среднюю зарплату инженера в 15,6 раза. Далее следуют Египет (в 8,1 раза), Гонконг (в 7,6 раза), Филиппины (в 5,4 раза) и Латвия (в 5,2 раза).
Поиск уязвимостей приобретает популярность в качестве постоянной профессии также в развитых странах. Тем не менее, здесь разница в размерах вознаграждений и среднестатистических зарплат не столь ощутима. К примеру, в США топовые исследователи зарабатывают в 2,4 раза больше по сравнению с рядовыми программистами. В Канаде этот показатель составляет 2,5 раза, в Германии – 1,8 раза, а в Израиле – 1,6 раза.
Согласно отчету, 58% исследователей, участвующих в программе выплаты вознаграждений за поиск уязвимостей, являются самоучками. 37% «белых» хакеров занимаются тестированием безопасности в качестве хобби в свободное от основной работы время. Около 12% зарегистрированных на HackerOne исследователей за год зарабатывают на поиске уязвимостей $20 тыс. и больше. 3% удается заработать за год более $100 тыс., а 1,1% — более $350 тыс.
По словам 13,7% опрошенных, вознаграждение за выявленные уязвимости составляет 90-100% от их годового дохода.

Каждый четвертый хакер не сообщает производителю об уязвимостях в его продукте из-за отсутствия соответствующих каналов. Интересно, что финансовая выгода не является главной мотивацией исследователей (в списке мотиваций заработок занимает лишь 4-е место).
HackerOne – компания, занимающаяся раскрытием уязвимостей и одноименная bug bounty платформа, соединяющая бизнес и исследователей безопасности. HackerOne базируется в Сан-Франциско (Калифорния, США) и обслуживает такие компании, как Twitter, Slack, Adobe Systems, Yahoo!, LinkedIn, Airbnb и пр.

Источник: securitylab.ru