HackerOne这周发布了2017年年度报告《黑客驱动的安全众测模式》，对过去四年平台上累积的数据进行分析总结：

超过800个项目

大约5万份漏洞报告

1700余万美元白帽子赏金

报告数据显示，当下白帽子的平均赏金收益为1923美元，比2015年的1624美元上涨了16%。企业支付过的最高单个漏洞赏金有30000美元，是一个很严重的洞。那家支付赏金的公司未公开名字。

在去年，游戏、电商、零售、媒体、娱乐等多个行业都有企业为严重漏洞支付过20000美元的高额赏金，平台上有88个白帽子获得过10000美元以上的单个漏洞赏金。

HackerOne首席执行官Marten Mickos表示，漏洞赏金计划遵循自然规律，越年长的黑客，越有机会赚钱。而随着公司需要修补的漏洞越来越多，攻击面变大，赏金支出也会水涨船高。

Mickos还指出，过去一年里漏洞赏金计划跨过技术领域门槛，迎来了更广泛的接受度。2016年平台上推出的赏金计划，有41%来自政府、媒体、娱乐等非技术行业，和银行、电商等金融服务业。

当国防部公布‘黑进五角大楼计划’后，改变了许多人对信任黑客这件事的看法。它让各种各样的公司找到我们，说‘如果你们黑掉了国防部，希望也能同样把我们黑掉。’

HackerOne平台上报告的漏洞，32%属于高危或严重级别。过去四年里，交通运输行业对这类漏洞最为慷慨，它们为此支付的平均赏金是4491美元，其次是游戏行业（3583美元）、电商和零售业（3471美元）。技术公司排名第五，1923美元。教育行业最低，是317美元。

在2016年，安全问题的平均首次回应时间是7天，2017年变成了6天。电商和零售行业修复漏洞的平均速度最快，为4周。

在HackerOne平台，除金融和银行业之外，其它行业最常被报告的漏洞是跨站脚本攻击（XSS）。里边有低危也有高危，严重的比如早些时候Verizon修复旗下聊天应用里出现的XSS账号劫持漏洞。

金融和银行业最常出现的是授权不当。SQL注射漏洞在整个HackerOne上都很常见，医疗保健行业最多，占比6%。

据HackerOne统计，福布斯全球两千强企业榜单里，高达94%的公司都没有设置过对外接收漏洞的入口。安全众测还需要很长的路要走。

ps：报告的下载地址，The Hacker-Powered Security Report