对安全问题的一个常见误解是认为漏洞是某种像导弹一样的东西

@tombkeeper：对安全问题的一个常见误解是认为漏洞是某种像导弹一样的东西，可以用油纸包起来放到山洞里。但导弹不会消失，而漏洞转瞬即逝。漏洞是动态的，不断产生，不断消失，所以其实更像电。电一旦发出来，难以长期保存。所以搞电力建设，核心不是囤积多少电池，而是建多少电站。对于漏洞来说，“电站”就是安全研究者。

在漏洞研究领域，人和人的差别有多大呢？大到一万个臭皮匠也顶不了一个诸葛亮。在任何行业，这种情况都是管理者最不喜欢的，但又是一个客观事实。在目前以及可预见的未来，没有什么软件或硬件能代替优秀的漏洞研究者。

目前业界公认水平最高的漏洞研究团队是 Google 的 Project Zero。Project Zero 汇聚了全世界各类漏洞研究方向上最好的一些人，每年都能产出数量和质量惊人的成果。那为什么这些人都愿意去 Project Zero？

Project Zero 的待遇当然是很好的。但同样的待遇，很多公司都能给得出。最主要的原因是 Google 给了 Project Zero 最宽松的氛围，特别是制度性地允许和鼓励对研究结果进行完全披露。

对研究者来说，除了薪酬待遇，最重要的是自己的成果能为业界所知，能自由地进行交流。这一点，决定了他们能够从内心中产生强大的自我驱动力，能对研究的问题昼思夜想，全身心投入。而不会像大多数人那样抱着拿一份钱打一份工的想法。不会多工作几分钟就认为公司占便宜了，自己吃亏了。

2006 年前后，国内网络安全研究人员的薪酬水平比较低。那几年 McAfee、Fortinet 等外企从中国挖走了大批优秀人才。以至于硅谷有些安全公司研究团队里一半以上都是华人。2012 年之后，国内这个行业的薪酬情况逐渐好起来，去国外的人就少了，一些已经去了国外的人也回来了。

目前国内安全研究实力和美国相比尚有差距，但处于蓬勃发展的状态。相对自由的环境，让大批优秀的年轻人愿意加入这个行业，展现才华，获得属于自己的成就。如果现在改变这种环境，让每个人在发布研究成果时都思前想后战战兢兢，短期内也许能获得些许表面上的平安和稳定。但长期来看，一定会对安全人才培养造成非常负面的影响。

说漏洞像电，漏洞其实又不像电。三峡的电，如果中国人不发，别的国家也发不了。但任何漏洞，如果你没有足够的人才来研究，是拦不住别人去研究的。