2022中国白帽人才能力与发展状况调研报告

中国白帽人才能力与发展状况调研报告 2022.11 补天漏洞响应平台 奇安信行业安全研究中心 主要观点 挖洞数量上升，奖金收入下降：2022年，国内白帽人才平均每人每年向各大漏洞平台提交的安全漏洞数量为69个,较2021年增长46.8%，这是国内白帽人才挖洞能力普遍提升的一种体现。不过，受到新手白帽持续增加、高价值漏洞越来越难挖、疫情影响企业安全投入等多方面因素的影响，国内白帽人均年度奖金收入从2021年的57679元下，降到2022年的31573元，降幅高达45.3%。 女性白帽崛起，人才更新换代：在国内白帽人才中，“重男轻女”现象仍然十分严重，但女性白帽占比已经从2021年的4.6%，增长至2022年的11.8%，增长了1.4倍，女性白帽子已经成为不可忽视的安全力量。此外，总体来看，80后、90后的白帽人才数量同比都有所下降，而00后、10后的新生代占比却都有所增长。女性白帽崛起和人才更新换代，也意味着攻防技术正在悄悄的从少数人的爱好和专利，向高端普及型专业技术转变。 学历水平上升，持证上岗减少：当前国内具有本科及以上（含在读）学历的白帽人才占比正在稳步增加，这得益于网络安全一级学科的持续扩招，同时也彰显了网络安全行业对白帽人才的吸引力。不过，2022年国内白帽人才的“持证上岗率”从2021年的53.6%大幅下降了到46.6%，这一变化应当警惕。 收入成为核心关注，保持理想追求务实：“增加收入”是白帽入行的第二大原因，“奖金额度”是平台选择的首要因素，“激励不足”是白帽工作的最大阻碍。本次调研结果显示，白帽人才对收入和奖金的关注程度前所未有。与此同时，认为白帽子也只不过是一份普通工作，甚至是一份苦B的工作的白帽子人数也越来越多。这种情况的出现可能并非偶然：漏洞挖掘进入深水区，遍地是洞时代已经远去，仅靠“理想”难以长期支撑一项艰巨的事业。“理性需求”的逐步回归，可能恰恰是网络安全工作不断规范化，白帽工作日益步入正轨的必然结果，也是行业持续发展、白帽队伍不断壮大的必然要求。 企业SRC受欢迎，和谐共赢促发展：31.5%的白帽子首选向企业自建SRC或企业官方渠道提交漏洞，这一比例较2021年的17.6%大幅提升了13.9个百分点，成为白帽子心中排名第二的漏洞提交平台，仅次于第三方漏洞响应平台，首次排在CNVD/CNNVD等国家漏洞响应平台之前。企业SRC受欢迎，是企业SRC正在日趋完善的表现，也标志着企业和白帽子之间的关系正在进一步走向“和谐共赢”。 互联网行业寒冬，白帽子挖洞自救：以往在白帽人才中不太显著的互联网行业，一跃成为2022年白帽人才产出的第三大来源，占比约为16.4%。一向被人们普遍认为是薪资丰厚的互联网行业工程师，也会出来兼职挖洞挣外快，从侧面反映出互联网行业正在经历的“艰难时期”。 摘要 白帽人才能力现状 2022年，国内白帽子人均向各大平台提交各类安全漏洞69个，较2021年人均47个增长了46.8%，白帽子的漏洞挖掘能力普遍提升。 2022年，国内白帽子每年人均可通过挖洞或参与演习获取奖金收入约31573元，较2021年的57679元下降了约45.3%。 目前国内白帽人才群体中，具有本科及以上（含在读）学历的白帽子约占白帽人才总数68.3%，较2021年的66.4%提升了1.9个百分点。其中，本科占比61.5%，研究生及以上占比6.8%。 约53.4%的白帽人才目前仍属“无证人员”，46.6%为“持证上岗”，持证上岗比例较2021年的53.6%下降了7.0个百分点。而在持证上岗人员中，持有NISP证书的人最多，达白帽人才总数的19.1%，其次是CISP证书，达16.9%。 我国白帽人才人均每周自学攻防技术的时间约为14.3小时，较2021年的14.8小时减少了30分钟。其中，自学时间小于5小时人数约占21.7%。6.4%的“白帽学神”每周自学攻防技术时间超过50小时，日均自学时间超过7个小时。 白帽人才生活画像 2022年，在所有白帽人才中，男性占比88.2%，女性占比11.8,%，男女比例约7.5比1。女性占比较2021年的4.6%增长了7.2个百分点。 90后、00后仍然是白帽人才的主力群体，占比分别为50.3%和43.4%。 2022年国内活跃白帽人才的平均入行年龄约为21.6岁，较2021年的21.9岁下降了 0.3岁。其中，绝大多数人还是在18岁~22岁间入行做的白帽子，占比约为55.9%。 当前国内活跃白帽人才的平均从业时长约为2.6年，较2021年的2.3年增长0.3年。 有60.5%的白帽子表示最喜欢在业余时间打游戏；运动健身和刷短视频，占比分别为44.8%和43.7%。 白帽人才职业画像 学生、安全企业、互联网是白帽人才最主要的行业来源。在所有白帽人才中，37.7%是学生群体、26.5%来自安全企业、16.4%来自互联网行业。 在不考虑学生和职业挖洞人的情况下，渗透测试工程师是产出白帽子最多的岗位，占比约为56.5%；16.5%的白帽子为安全运维工程师，排名第二。 64.9%的白帽子是因为爱好而选择从事白帽工作。此外，“增加个人收入”、“安全的理想”和“本职工作要求”等因素，也是影响白帽人才入行的重要驱动力。 国内第三方漏洞响应平台目前仍然是白帽子提交安全漏洞的首选平台，占比达32.4%。另有31.5%的白帽子首选向企业自建SRC或企业官方渠道提交漏洞，这一比例较2021年的17.6%大幅提升了13.9个百分点，成为白帽子心中排名第二的漏洞提交首选平台。 白帽人才社会认同 绝大多数白帽人才对自己的白帽子身份和白帽工作非常认同，近七成的白帽子认为白帽工作非常酷或有点儿酷。 能够得到家人和亲友普遍支持的白帽人才约占比51.0%，刚刚超过一半。约有2.2%的白帽子，其家人或亲友对其白帽工作持不支持或强烈反对态度。 尽管68.2%的白帽子认为这个职业不会给择偶带来太大的影响，但也有15.2%的白帽子认为，白帽作为一个很酷的职业，非常有助于吸引异性，甚至会得到异性的“崇拜”。 白帽人才社会交往 我们把一个白帽子所熟识的其他白帽子好友的人数，称为白帽子的“社交半径”。调研显示，国内白帽子的社交半径正在逐渐扩大，2021年为平均16.0人，而2022年为平均19.4人。 约有36.3%的白帽子非常愿意或经常参加白帽聚会，约有18.6%的白帽子还会愿意经常自己组织白帽聚会。 约有42.5%的白帽子非常愿意或经常参加各类大型网络安全会议，约有29.8%的白帽子愿意自掏腰包参会，甚至是跨城参会。而表示自己从不外出参会的白帽子，仅占受访者的13.8%。 关键词：补天、漏洞、白帽子、白帽人才 目录 研究背景1 第一章白帽人才能力现状2 一、挖洞能力2 二、收入能力2 三、学历状况3 四、专业证书3 五、自我培养4 第二章白帽人才生活画像5 一、性别与年龄5 二、入行年龄与从业时长6 三、业余爱好7 第三章白帽人才职业画像8 一、行业分布8 二、岗位分布8 三、入行原因9 四、漏洞平台选择9 五、工作中的阻碍11 第四章白帽人才社会认同12 一、自我认同度12 二、亲友支持度12 三、爱情认同度13 第五章白帽人才社会交往14 一、白帽子的社交半径14 二、白帽聚会参与度14 三、安全会议关注度15 附录补天漏洞响应平台16 随着网络安全实践工作的持续深入发展，白帽子已经成为了各项网络安全工作中不可或缺的关键要素，白帽人才培养也是我国网络安全人才发展战略的重要组成部分。为了更加深入、全面的了解我白帽人才的发展全貌，补天漏洞响应平台与奇安信行业安全研究中心联合展开了本次以白帽人才能力与发展现状为核心的调研工作，期望能够为促进白帽人才综合能力建设与发展提供积极的、有益的参考。 补天漏洞响应平台不仅是一个专业漏洞响应平台，同时也长期专注于白帽人才队伍的建设，通过线上社区、专业沙龙、破解大赛、白帽大会等多种形式，持续促进我国白帽人才的实战技术交流、政策法规学习及长期能力培养。截至2022年10月，平台注册白帽子已达到 10万余名，累计为31万多家企业报告的漏洞超过101万个。 2022年7月，补天漏洞响应平台联合奇安信行业安全研究中心，邀请581名活跃的白帽子展开调研，形成了这份《中国白帽人才能力与发展状况调研报告》。报告从白帽人才能力现状、生活与工作情况、社会认同及社交生活等多个方面，对白帽人才的能力与发展现状进行了分析。 希望此项研究成果能够对促进白帽人才自我学习与发展，促进全社会对白帽工作的认同与支持提供积极有益的参考。 第一章白帽人才能力现状 本章主要从挖洞、收入、学历、证书、自我培养等几个方面，探讨白帽人才的能力现状 一、挖洞能力 挖洞能力是白帽子的核心能力。调研显示，2022年，国内白帽子人均向各大平台提交各类安全漏洞69个，较2021年人均47个增长了46.8%，白帽子的漏洞挖掘能力普遍提升。其中，约有58.3%的白帽人才，每年人均提交有效安全漏洞数量超过10个，更有约6.6%的白帽人才每年人均提交有效漏洞数量超过300个，堪称漏洞界的“超级挖掘机”。 二、收入能力 通过挖洞或参加实战攻防演习。获取奖金收入，是白帽人才获取收入的重要方式。调研显示，2022年，国内白帽子每年人均可通过挖洞或参与演习获取奖金收入约31573元，较2021年的57679元下降了约45.3%。 白帽子人均收入水平的下降是多方面因素共同作用的结果： 1）近两年，国内很多大型政企机构的网络安全建设水平得到了实质性提升，特别是实战攻防演习工作的持续开展，使得相关机构系统中的高危漏洞快速减少，高价值安全漏洞越来越难挖。 2）能力有限的新人白帽持续增长，导致年奖金收入3000元以下的白帽子比例大幅增加了近15个百分点，从而显著拉低了整体的平均奖金收入水平。 3）高产出高收益的职业挖洞人比例大幅减少了34.5%（参见第三章第一小节），越来越多的职业挖洞人转向寻找正式工作，从而导致年度奖金收入5万元、10万元、甚至是100万元以上的白帽子比例大幅下降。 4）受疫情和全球经济环境影响，部分大中型政企机构削减了企业的网络安全或SRC投入。 调研具体结果分布，参见下图。 三、学历状况 尽管学历高低并不能代表单个白帽人才的实战能力水平，但学历状况的整体分布却可以在一定程度上反映出当前国内白帽人才的综合能力水平。调研显示，目前国内白帽人才群体中，具有本科及以上（含在读）学历的白帽子约占白帽人才总数68.3%，较2021年的66.4%提升了1.9个百分点。其中，本科占比61.5%，研究生及以上占比6.8%。 本科以上学历白帽人才的稳步增加，得益于网络安全一级学科的持续扩招，新鲜血液不断注入。同时，这也在一定程度上反映出网络安全行业的生命力，正在吸引越来越多的高学历人才加入白帽队伍，白帽竞争也会日益激烈。下图给出了2021年和2022年的情况对比。 四、专业证书 网络安全专业证书在一定程度上也可以成为白帽子技术水平的证明。调研发现，约53.4% 的白帽人才目前仍属“无证人员”，46.6%为“持证上岗”，持证上岗比例较2021年的53.6%下降了7.0个百分点。而在持证上岗人员中，持有NISP证书的人最多，达白帽人才总数的19.1%，其次是CISP证书，达16.9%；其他各类证书的持证率均不超过10%。详细分布见下图。 五、自我培养 自我培养，自主学习，是白帽人才能力提升的主要途径。调研显示，我国白帽人才人均每周自学攻防技术的时间约为14.3小时，较2021年的14.8小时减少了30分钟，自学时间正在变短。其中，自学时间小于5小时的人数约占21.7%；5~10小时的约占31.7%；10~15小时的约占17.9%，15~20小时的约占10.8%，。此外，还有11.5%的白帽子每周自学时间达20~50小时，堪称“白帽学霸”；更有6.4%的