DeVoss现在每月工作约10-40个小时，去年他有了903000美元的收入。

对于一个已经拥有稳定、高薪的工作并且可能有几个孩子的人来说，将挖洞作为全职工作并不是最好的选择。

这些都是上周FreeBuf网站上发布的一篇编译文章《全职漏洞猎人的故事》中提及的种种观点，而这些描述也让我们好奇，相比国外”全职漏洞猎人“，国内白帽子的生活/生存现状如何？

全职白帽几乎为0，漏洞奖励是关键

@ziluobu：

全职只有黑客，应该没有白帽子，否则他指啥活。

@白河·愁：

水平都能全职了，找个工作不比专职挖洞赚的多？

@对酒当歌人生几何 ：

一句话钱少，活多，离家远？

@米怀特：

最近也在关注相关问题，国内披露的漏洞危害和奖金比例差异略大。比如某Weblogic漏洞在不同平台的漏洞评分差很多。

@煜阳yuyang：

之前我看国内一哥们儿“挖”某知名互联网大厂，最后一个高危就给了他一条纪念围巾，钱都没有。

漏洞奖励问题一直以来都是国内白帽子的痛，虽然很多白帽子开始挖洞都是因为兴趣和爱好，但他们认为自己付出的努力（在挖洞上投入的时间与精力）没有得到对等的漏洞奖励回报，仅凭一股热血很难长久地坚持。

首先学会“浪费时间”

@少帅力：

白帽子提交漏洞太难了，重复提交漏洞多，人家不承认漏洞然后默默修复了，时间价值很低。

随着白帽子人群基数的扩大，挖洞的竞争变得更为激烈。白帽子挖洞除了技术能力、学习能力，有时候还要看点运气，比如好不容易挖到一个漏洞结果别人捷足先登了，那意味着为了这个漏洞所付出的努力都付诸一炬（除了过程中能力得到锻炼）。

拒绝“利益诱惑”

@煜阳yuyang：

还是利益差距太大了，如果利益差距不明显谁也犯不着做那危险的事情。

@达芬奇Davinci：

想单干的，有那个胆子的,有那个技术的,直接灰产。前几年有个黑灰产公司，你去加盟，人老板劳斯莱斯接待。

相比白帽子的漏洞奖励，从事黑灰产的收入要高得多，这种利益差距导致存在一部分人从事涉及黑灰产业的现象。

职业发展：网络安全需要大量的优秀白帽子

@达芬奇Davinci：

有个上班族小朋友，就喜欢研究XSS，后来研究到比较前沿。给百度，新浪等各个大厂弹一遍。每个月20K兼职收入。但是，很少有人职业发展能一直干技术，到了四五十岁还做渗透吗？

@ziluobu：

现在很多事情要团队做的，测评公司，评估公司，等保公司，大互联网公司都需要安全人才。渗透测试的人才是不可或缺的，因为安全服务要做的好，没有渗透人才以黑客视角去测试的话，是做不好安全服务的。

从技术转向管理岗是大多数IT人员，包括从事网络安全行业的人的职业规划。对于白帽子来说，凭借挖洞、渗透积累的工作经验，加入一家大公司的安全团队，似乎是一个更好的选择，而对于很多企业来说，对于白帽子的人才需求也是一直存在并增长的。

从漏洞奖励、挖洞经历、成长环境各个方面来看国内白帽子的“生存”现状，你还有什么想说的，评论区一起讨论吧！