程序員福利：那些可以發家致富的找bug游戲

去年發生了這樣一件趣事：有一程序員，去年發現他在 非死book 上可以刪除任何人的照片，于是報告給了 非死book 有關部門，然有關部門回復說，這個是無效的 bug (invalid report)。于是，該程序猿回家后就清空了扎克伯格的照片集，然后有關部門通知他說，你這個是有效 bug，可以來領獎金了。

找 Bug 拿獎金？的確如此。硅谷很多大公司都有項目鼓勵用戶報告他們發現的 Bug，最近奇虎 360 和騰訊的兩位員工已經分別拿到了微軟的 1 萬和 4.5 萬獎金。以下是部分“大家來找茬”項目：

#1 非死book bug bounty

非死book 在 2014 年共收到 17011 個 bug 報告，共頒發了 130 萬美金給全球 65 個國家的 321 名提交者，其中 61 個 bug 被認為高危漏洞。非死book 對每一個有效 bug 的最低賞金是 500 美元，并根據 bug 的危險程度增加獎勵金額。2014 年的獲得獎金最多的 5 個人，共拿走了近 26 萬美金 ($256,750)。

#2 Google Bughunter University

Google Bughunter University (谷歌找茬大學)給出了詳細的找 bug 分級指導和相應的賞金，如下圖。有效 bug 獎勵 100 美元至 2 萬美元不等，危險性越高的 bug 獲得的賞金越多。從圖中可以看出，谷歌重點鼓勵的還是技術含量高的可以從遠程成功實施的對谷歌賬戶和應用的攻擊，賞金為 2 萬美元/bug。

下圖是 2014 年全球提交的 bug 統計。雖然有很多提交者打了醬油(綠色部分)，但高危的漏洞也不少：

這是各級別的獎勵總額統計圖，縱軸是獎勵級別，橫軸是金額：

雖然 Google 沒有公布總共發了多少錢出去，不過從上圖來看，似乎拿到 1 萬和 2 萬美元獎金的人不多啊，是因為 Google 覺得自己的 Bug 比 非死book 少嗎？不知道前幾天發生的“谷歌一不小心把 Google.com 域名給賣了，售價為 12 美元”這個 Bug 的發現者能獲得多少獎金......

#3 Microsoft Bounty Programs

微軟公司的大家來找茬項目叫做 Microsoft Bounty Program，自 2013 成立以來已經發放了 50+ 萬獎金。微軟把獲獎者的名單也公布了出來，并且按類別做了區分。這個目前有三個子項目，分別是 (1) Online Services Bug Bounty，有效 bug 獎勵 500 至 1.5 萬美元。(2) Mitigation Bypass Bounty，真的有效的 bug 獎勵封頂金額為 10 萬美元。(3) Bounty for Defense，同樣，真的有效的 bug 獎勵封頂金額為 10 萬美元，像國內網絡安全大佬、“婦科圣手”@tombkeeper 就拿到過微軟的 10 萬元獎金。

我們看下都誰拿到了獎金呢？下圖是微軟網站上公布的部分獲獎名單。

Mitigation Bypass 的獎金真的不菲，HP 有團隊(HP)拿走了 12.5 萬美元的獎金，國內安全公司綠盟(NSFOCUS)也有不少收獲，Google 有兩位分別拿走了 2.5 萬美金。然后我們發現，@tombkeeper 在跳槽騰訊后又拿了 4.5 萬美元的獎金，不愧是獲獎專業戶...

程序猿們，找 Bug 也可以致富，你還等什么呢？