在众包的“漏洞赏金”平台上的外部冲击的简单经济学

虽然网络攻击发生的原因和方式多种多样，但利用软件漏洞(也称为“bug”)是主要的攻击载体之一。“漏洞赏金”项目和平台利用众包来寻找这些漏洞，他们的理念是“只要有足够的眼球，所有的漏洞都是肤浅的”(Raymond 1999)。

漏洞赏金计划是一种结构化的、合法的方式，让安全研究人员发现软件漏洞而获得奖励。这些计划使组织能够接触到有道德的黑客(以下简称“研究人员”)，他们的网络安全专业知识和知识可以补充组织自己的开发和测试团队。从安全研究人员的角度来看，这些程序为他们发现的漏洞提供了一个获得合法奖励的机会。

漏洞赏金平台是“双向”市场，它提供漏洞赏金项目，并允许组织将其软件的一部分众包用于安全测试。这样的平台为组织提供了接触大量具有广泛知识和技能的天才研究人员的途径，从而增加了发现漏洞的可能性。这些程序被设计成锦标赛的形式，因此公司只会为发现的独特漏洞支付金钱奖励。顶级研究人员有机会被邀请到只有经过挑选的研究人员可以参与的私人项目，从而增加了成为第一个发现和报告漏洞的可能性。

漏洞奖励计划和平台是“零工经济”这一更大趋势的一部分，在这种经济中，企业通过零工来补充劳动力，工人通过零工来补充收入。从企业的角度来看，这些平台提供了获得熟练和灵活劳动力的途径。零工平台为工人创造了进入全球就业市场并参与竞争的机会。此外，它们促进了“过渡就业”(即职业之间的临时就业)，并在市场不适合全职就业的低迷时期提供收入机会。事实上，通过研究拼车市场，Koustas(2018)发现，平均而言，为零工平台开车弥补了主要工作损失的73%的收入。此外，在经济困难时期利用零工平台有助于克服收入波动期。同样，Collins等人(2019)发现，员工通常在个人收入危机时期开始新平台工作。此外，Stanton和Thomas(2022)研究了在线零工经济平台的价值，Stabile等人(2020)研究了COVID-19对不平等和零工经济劳动者的影响。

我们最近的论文(Zrahia et al. 2022)利用Bugcrowd提供的独特数据集，记录了外源性冲击——COVID-19大流行——对漏洞慷慨平台漏洞市场的影响。该数据涵盖2017-2021年，我们关注每年的3月至5月这三个月。2020年期间与大流行的前三个月相对应，因此是Covid冲击的时期。我们研究了Covid冲击对参与组织的漏洞需求和活跃研究人员的漏洞供应的影响。

据我们所知，这是第一项分析漏洞悬赏平台上大量详细的悬赏活动数据集的研究，其中包括私人项目的数据，以及重复提交的数据。因此，鉴于近年来私人课程占新开设课程的90%以上，它可以进行更全面的分析。

自成立以来，Bugcrowd平台已经主办了1000多个组织提供的2400多个项目，吸引了3万多名活跃的研究人员，他们至少向一个项目提交了一份申请。这套数据记录了有效提交的付款情况，这些提交是针对方案规定范围内的漏洞。虽然只有第一个发现有效漏洞的研究人员才会获得金钱报酬，但数据集也会记录重复的有效提交。重复有效的提交意味着研究人员正确地识别了一个有效的漏洞，但不是第一个，因此没有获得金钱奖励。同时考虑付费投稿和重复有效投稿，使我们能够计算有效投稿的平均付费，这被证明是理解Covid冲击影响的一个关键变量。

我们的分析表明，Covid冲击影响了有效漏洞的供应和需求，但对供应的影响要大得多。在供给端，这一冲击极大地增加了投稿数量，以及参与Bugcrowd平台的研究人员数量。如果这一冲击减少了那些在此期间失去工作或休假的研究人员的外部机会，这就说得过去了，因为这些研究人员手头有更多的时间来寻找漏洞奖励计划中的漏洞。在需求方面，新方案的增加要小得多，这可能是因为启动这些方案需要大量的时间。

通过将有效提交品定义为相关产品，将有效提交品的平均奖金定义为价格，我们使用启发式供求模型来检验Covid冲击的影响。Covid冲击通过大幅增加活跃研究人员数量大幅改变了供应曲线，并通过略微增加活跃项目的增长更温和地改变了需求曲线。这些变化结合在一起大大增加了有效提交的数量。有趣的是，这一数量的增加主要是由于有效提交的重复数量的大幅增加，反映了更明显的供应曲线变化。因此，有效提交的平均均衡价格大幅下降，因为有效的副本没有货币奖励。

也就是说，新冠疫情冲击将脆弱性市场“抛”出了此前或多或少的稳定均衡。Covid冲击导致有效提交的平均均衡价格下降，可能会抑制个体研究人员寻找漏洞的动机。¹在2020年，有效提交的论文有六分之一的机会获得报酬，而在2019年和2021年，这一概率略高于三分之一。2017-2018年，付费投稿占有效投稿总数的比例为48-49%，2019年和2021年为36-37%。后者的数字反映了研究人员之间竞争加剧的轻微趋势。2020年付费有效提交比例(16%)的大幅下降完全是由于供应侧，其对有效提交的平均均衡价格的影响(下降55%)是剩余影响的两倍，这可能是由供应和需求因素共同造成的。

因此，可以提出以下反事实的论点:如果2020年的需求响应增加，使付费投稿占有效投稿总数的比例在2019年和2021年的36-37%之间，而不是下降到16%，那么2020年的付费投稿总数将是实际数量的两倍多。相反的事实意味着，在新冠疫情期间，可能错过了检查更多软件和发现更多独特漏洞的机会。

此外，新冠疫情为解决与众包和“零工”经济相关的关键公共政策问题提供了机会。我们的设置描述了当外部选择的价值降低时，在“白色”市场中发生的漏洞。零工经济(自由职业而非长期工作)的一个经常被提及的好处是，外部冲击对供应方面的反应应该几乎是瞬间的。在这里，我们证明了这一点，我们量化了新研究人员和投稿人数增加的影响。

政府机构已经开始使用漏洞奖励计划。美国网络安全与基础设施安全局(CISA)于2021年宣布了一项漏洞披露政策平台。该平台(由Bugcrowd和EnDyna提供)允许机构在漏洞披露政策的范围内列出系统，因此安全研究人员可能会试图找到机构网站的漏洞，并提交报告进行分析。²此外，网络保险公司已经开始认识到参与漏洞奖励计划的公司的好处。大型全球保险公司达信(Marsh)将参与一个漏洞奖励平台，作为其“网络催化剂”(cyber catalyst)计划的一部分，该计划可以降低网络保险价格。达信的网络催化剂计划确定降低网络风险的安全产品，参与HackerOne漏洞赏金平台包括在一组“认证”产品中。^3.

参考文献

Collins, B, A Garin, E Jackson, D Koustas和M Paynek(2019)，“零工工作正在取代传统就业吗?来自20年纳税申报单的证据"，国税局工作文件。

张晓明(2018)，“消费保险与多重就业:来自拼车司机的证据”，工作论文。

雷蒙德。E(1999)，“大教堂与集市”，知识、技术和政策12: 23-49。

Stabile, M, B Apouey和I Solal(2020年)。”2019冠状病毒病、不平等和零工经济工人， VoxEU.org, 4月1日。

斯坦顿，C和C托马斯(2022)在线零工经济平台的价值， VoxEU.org, 1月15日。

Zrahia, A, N Gandal, S Markovich和M Riordan (2022)众包“漏洞赏金”平台的外部冲击的简单经济学， CEPR讨论文件17443。