0
雷锋网注:该文作者为于旸, 网名“tombkeeper”,人称“TK教主”,腾讯安全玄武实验室负责人,国际知名的白帽黑客,该文已获于旸授权转载。
对安全问题的一个常见误解是认为漏洞是某种像导弹一样的东西,可以用油纸包起来放到山洞里。但导弹不会消失,而漏洞转瞬即逝。漏洞是动态的,不断产生,不断消失,所以其实更像电。电一旦发出来,难以长期保存。所以搞电力建设,核心不是囤积多少电池,而是建多少电站。对于漏洞来说,“电站”就是安全研究者。
在漏洞研究领域,人和人的差别有多大呢?大到一万个臭皮匠也顶不了一个诸葛亮。在任何行业,这种情况都是管理者最不喜欢的,但又是一个客观事实。在目前以及可预见的未来,没有什么软件或硬件能代替优秀的漏洞研究者。
目前业界公认水平最高的漏洞研究团队是 Google 的 Project Zero。Project Zero 汇聚了全世界各类漏洞研究方向上最好的一些人,每年都能产出数量和质量惊人的成果。那为什么这些人都愿意去 Project Zero?
Project Zero 的待遇当然是很好的。但同样的待遇,很多公司都能给得出。最主要的原因是 Google 给了 Project Zero 最宽松的氛围,特别是制度性地允许和鼓励对研究结果进行完全披露。
对研究者来说,除了薪酬待遇,最重要的是自己的成果能为业界所知,能自由地进行交流。这一点,决定了他们能够从内心中产生强大的自我驱动力,能对研究的问题昼思夜想,全身心投入。而不会像大多数人那样抱着拿一份钱打一份工的想法。不会多工作几分钟就认为公司占便宜了,自己吃亏了。
2006 年前后,国内网络安全研究人员的薪酬水平比较低。那几年 McAfee、Fortinet 等外企从中国挖走了大批优秀人才。以至于硅谷有些安全公司研究团队里一半以上都是华人。2012 年之后,国内这个行业的薪酬情况逐渐好起来,去国外的人就少了,一些已经去了国外的人也回来了。
目前国内安全研究实力和美国相比尚有差距,但处于蓬勃发展的状态。相对自由的环境,让大批优秀的年轻人愿意加入这个行业,展现才华,获得属于自己的成就。如果现在改变这种环境,让每个人在发布研究成果时都思前想后战战兢兢,短期内也许能获得些许表面上的平安和稳定。但长期来看,一定会对安全人才培养造成非常负面的影响。
说漏洞像电,漏洞其实又不像电。三峡的电,如果中国人不发,别的国家也发不了。但任何漏洞,如果你没有足够的人才来研究,是拦不住别人去研究的。
雷峰网版权文章,未经授权禁止转载。详情见转载须知。