身处美中风暴中的视频社交应用TikTok近日宣布，与漏洞众测平台HackerOne合作推出漏洞奖励计划，邀请全球白帽子报告其TikTok网站、Android应用、iOS应用的安全漏洞。

　　TikTok漏洞奖励计划基于CVSS规范评估漏洞危害，分为严重、高、中、低四档，其中低危漏洞奖金在50-200美元之间，中危漏洞为200-1700美元，高危漏洞为1700-6900美元，严重漏洞为6900-14800美元。

　　这是一个标准较高的HackerOne漏洞奖励计划，据统计数据显示，TikTok目前已为此支付超过4万美元奖金。

　　碰巧的是，TikTok母公司字节跳动在今年7月刚刚更新了国内漏洞报告规则，提升了漏洞奖金，我们可以比较下双方的差别。

　　字节跳动安全中心（ByteSRC）的漏洞等级也分为严重、高危、中危、低危四等，不过同等漏洞在不同业务的奖金不同。今日头条、抖音、西瓜视频等核心业务属于高系数类，奖励金额最高，严重漏洞最多可获得1.8万元奖金，边缘业务如接管投资、合资公司的业务则最多只有2400元。

　　对比上述内容可以看出，抖音距离其国际版TikTok的漏洞奖金差距不小，虽然两者同出一源，但随着TikTok在国际市场上炙手可热，两者的“安全价值体现”也拉开了接近7倍差距。

　　众所周知，国内公司的漏洞奖励比国外低很多，字节跳动属于头部公司中做得不错的，如果把列表拉长，我们会发现还有差距更大的，比如：

　　有白帽子表示，美国IT行业平均薪资水平是国内的3倍以上，也就意味着漏洞赏金支出是国内的3倍来说是完全合理的，但现实情况是国内给的钱差太多，导致许多人为国外挖漏洞，安全能力流失。

　　如何改善这一现象，还任重道远。