【書語】當程式漏洞成為一門生意？「簡語」

作者：赤紅時夜│2021-10-24 18:26:55│巴幣：78│人氣：199

〈賞金獵人：漏洞報告〉

　　二零一一年當漏洞報告的來源開始枯竭的那一刻起，穆蘇里斯就知道問題嚴重了。

　　比起從駭客那裏取得漏洞報告，微軟開始從仲介商那裏得到更多漏洞報告──但可能是在那些漏洞已經被人利用之後。由於這暗示著那些漏洞可能已經變成具破壞力的網路攻擊，不僅對於異議分子、激進分子和新聞記者而言是壞消息，對於微軟而言也非常不利。

　　矽谷殘酷的人才爭奪戰依然肆虐，雷德蒙德已經成為推特和臉書等新成立的初創公司肥沃的偷獵地。微軟如今不僅少了漏洞報告，其進入大型人才庫的管道也被切斷了。

　　如果無法爭取到最優秀的資訊安全人才，處境將會愈來愈危險。隨著谷歌和臉書現在都已經開始支付賞金，穆蘇里斯知道微軟公司也應該這麼做。

　　說服微軟高層開始向駭客支付賞金是一項艱鉅的任務。首先，微軟永遠無法在網路武器市場上與政府競爭，除此之外還有另一個賞金可能變成邪惡誘因的合理限制：假如駭客能夠在攻擊領域賺到愈多錢，棄絕防禦工作的駭客人數就可能變多。

　　如果一個微軟程式的錯誤能讓他們賺進數千美元，還有多少有才華的資訊安全工程師願意投入這一行？

　　穆蘇里斯開始利用下班時間研究賽局理論，以便了解各種激勵模式及缺點。微軟可能永遠無法與政府市場競爭，然而穆蘇里斯知道金錢不是吸引駭客的主要誘因。

　　她將駭客的動機分成三種類別：賺取報酬、獲得認同、以及「尋求知性方面的快樂」。

　　假如微軟不打算支付駭客最高的報酬，就必須創造出一種條件，而在這種條件下，修復錯誤會比將漏洞武器化並販售給政府還要吸引駭客。

　　然而並不是每個人都吃這套，因為有些人就是為了賺錢才當駭客，有些人則認為將漏洞利用程式賣給政府是愛國的表現。

　　但世界上有一千八百萬名軟體程式設計師，如果微軟能以更具意義的方式來認同這些程式設計師，就能長長久久地利用他們的腦力，並邀請到最優秀的程式設計師來雷德蒙德工作。

引用網址：https://home.gamer.com.tw/TrackBack.php?sn=5298442
All rights reserved. 版權所有，保留一切權利

留言共 0 篇留言

我要留言提醒：您尚未登入，請先登入再留言

26 喜歡★u741236913 可決定是否刪除您的留言，請勿發表違反站規文字。