2023中国白帽人才能力与发展状况调研报告

中国白帽人才能力与发展状况调研报告 2022.11 补天漏洞响应平台 奇安信行业安全研究中心 主要观点 漏洞越来越难挖，但价值越来越高，收入反而微增。2023年，国内白帽子人均向各大平台提交各类安全漏洞48个，较2022年人均69个减少了30.4%。国内白帽子每年人均可通过挖洞或参与演习获取奖金收入约34674元，较2022年的31573元增加了约9.8%。 初级白帽人群比例持续增加。调研显示，32.0%的白帽子入行不足一年，半数白帽人才入行时间为1~3年，学生群体仍然是白帽人才最大的组成部分。 专业证书持有人数越来越多，白帽子愿意通过技能证书证明自己的能力。仅有39.0%的白帽人才目前仍属“无证人员”，61.0%为“持证上岗”，持证上岗比例较2022年的46.6%上升了14.4%。 众多初级白帽子正处于高速成长阶段，且自我管理能力较强。详细分析“白帽学神”我们发现，每周攻防时间超过50小时基本可以断定其业余时间几乎都在自学攻防技术。这类同学七成以上入行不足三年，可见众多初级白帽子正处于高速成长阶段，且自我管理能力较强，对攻防技术有浓厚的兴趣，愿意花大量的时间汲取更多的知识。我们相信越来越多“白帽大神”、“挖洞专家”们正在奋进的路上，未来将会有更多更强的白帽子与网安行业携手前行。 Z世代成为白帽人才完全主力，在挖洞爆肝的同时也会格外注重身体健康和个人成长。2023年国内活跃白帽人才的平均入行年龄约为21.6岁.62.4%的白帽人才为00后，32.8%的白帽人才为90后，二者之和超过总数的95%。 兴趣第一是Z世代白帽子入行的首要原因，收入是坚持做白帽子的保障。在2021年至2023年的调研中，在回答“入行原因”的问题时，连续三年“增加收入”选项比例在持续增加。也更加说明了，仅靠“理想”难以长期支撑一项艰巨的事业。“理性”的逐步回归，可能恰恰是网络安全工作不断规范化，白帽工作日益步入正轨的必然结果，也是行业持续发展、白帽队伍不断壮大的必然要求。 摘要 白帽人才能力现状 调研显示，2023年，国内白帽子人均向各大平台提交各类安全漏洞48个。其中，约有45.6%的白帽人才，每年人均提交有效安全漏洞数量超过10个，更有约4.6%的白帽人才每年人均提交有效漏洞数量超过300个。 2023年，国内白帽子每年人均可通过挖洞或参与演习获取奖金收入约34674元，较2022年的31573元增加了约9.8%。 仅有39.0%的白帽人才目前仍属“无证人员”，61.0%为“持证上岗”，持证上岗比例较2022年的46.6%上升了14.4%，越来越多的白帽子愿意通过技能证书证明自己的能力。 我国白帽人才人均每周自学攻防技术的时间约为15.0小时，每周攻防时间超过50小时基本可以断定其业余时间几乎都在自学攻防技术。 白帽人才生活画像 2023年，在所有白帽人才中，男性占比91.8%，女性占比8.2%。 00后已经远远超过90后占据白帽人才半壁江山。Z世代成为白帽人才的主力群体。从数据分析，62.4%的白帽人才为00后，32.8%的白帽人才为90后，二者之和超过总数的95%。甚至已经有10后白帽人才，占比0.8%。 2023年国内活跃白帽人才的平均入行年龄约为21.6岁。其中，绝大多数人还是在18岁~22岁间入行做的白帽子，占比约为55.9%。 当前国内活跃白帽人才的平均从业时长约为2.4年。 白帽人才最喜欢的业余爱好是打游戏，有54.1%的白帽子表示最喜欢在业余时间打游戏；其次是运动健身和看书读报，占比分别为47.5%和40.9%。 白帽人才职业画像 学生群体是白帽人才最大的组成部分，占比高达44.0%，其次是安全企业员工，占比约为26.8%。 在不考虑学生和职业挖洞人的情况下，渗透测试工程师是产出白帽子最多的岗位，约有54.8%的白帽子日常工作岗位是渗透测试工程师；12.6%的白帽子为安全运维工程师，排名第二。 调研显示，“个人的爱好”是最主要的驱动力，58.7%的白帽子是因为爱好而选择从事白帽工作。 国内第三方漏洞响应平台与企业自建SRC或企业官方渠道是白帽子提交安全漏洞的首选平台，占比均为29.9%。CNVD/CNNVD等国家漏洞响应平台占比约为29.5%。白帽子在漏洞平台选择过程中，最为关注的两个因素分别是“奖金金额”和“安全性及法律风险”。 占比分别为75.1%和53.3%。此外，约46.9%的白帽子会看重平台本身的知名度。 白帽人才社会认同 绝大多数白帽人才对自己的白帽子身份和白帽工作非常认同，约70.3%的白帽子认为白帽工作“非常酷”或“有点儿酷”。 能够得到家人和亲友普遍支持的白帽人才约占比54.7%，刚刚超过一半。而22.0%的白帽认为，所有家人和亲友中，对其白帽工作，是“有的支持，有的不支持”。有2.3%的白帽子，其家人或亲友对其白帽工作持不支持或强烈反对态度，甚至还有约1.5%的白帽子表示，其家人和亲友总是劝其改行。 尽管61.2%的白帽子认为这个职业不会给择偶带来太大的影响，但也有13.5%的白帽子认为，白帽作为一个很酷的职业，非常有助于吸引异性，甚至会得到异性的“崇拜”。 白帽人才社会交往 我们把一个白帽子所熟识的其他白帽子好友的人数，称为白帽子的“社交半径”。调研显示，2023年白帽子社交半径为平均17.6人。中49.2%的白帽子拥有3~10个白帽朋友，10.6%的白帽子拥有50个以上的白帽朋友。 约有47.9%的白帽子非常愿意或经常参加白帽聚会，约有24.7%的白帽子还会愿意经常自己组织白帽聚会。 约有53.9%的白帽子非常愿意或经常参加各类大型网络安全会议，其中甚至约有34.7%的白帽子愿意自掏腰包参会，甚至是跨城参会。 关键词：补天、漏洞、白帽子、画像、生活、职业、能力、认同…… 目录 研究背景1 第一章白帽人才能力现状2 一、挖洞能力2 二、收入能力2 三、专业证书3 四、自我培养4 第二章白帽人才生活画像6 一、性别与年龄6 二、入行年龄与从业时长7 三、业余爱好8 第三章白帽人才职业画像9 一、行业分布9 二、岗位分布9 三、入行原因10 四、漏洞平台选择10 五、工作中的阻碍11 第四章白帽人才社会认同13 一、自我认同度13 二、亲友支持度13 三、爱情认同度14 第五章白帽人才社会交往15 一、白帽子的社交半径15 二、白帽聚会参与度15 三、安全会议关注度16 附录补天漏洞响应平台17 随着网络安全实践工作的持续深入发展，白帽子已经成为了各项网络安全工作中不可或缺的关键要素，白帽人才培养也是我国网络安全人才发展战略的重要组成部分。为了更加深入、全面的了解我国白帽人才的发展全貌，补天漏洞响应平台与奇安信行业安全研究中心联合展开了本次以白帽人才能力与发展现状为核心的调研工作，期望能够为促进白帽人才综合能力建设与发展提供积极的、有益的参考。 补天漏洞响应平台不仅是一个专业漏洞响应平台，同时也长期专注于白帽人才队伍的建设，通过线上社区、专业沙龙、破解大赛、白帽大会等多种形式，持续促进我国白帽人才的实战技术交流、政策法规学习及长期能力培养。截至2023年12月，平台注册白帽子已达到 12万余名，累计为40万多家企业报告的漏洞超过153万个。 2023年8月，补天漏洞响应平台联合奇安信行业安全研究中心，邀请超过五百位活跃的白帽子展开调研，形成了这份《中国白帽人才能力与发展状况调研报告》。报告从白帽人才能力现状、生活与工作情况、社会认同及社交生活等多个方面，对白帽人才的能力与发展现状进行了分析。 希望此项研究成果能够对促进白帽人才自我学习与发展，促进全社会对白帽工作的认同与支持提供积极有益的参考。 第一章白帽人才能力现状 本章主要从挖洞、收入、学历、证书、自我培养等几个方面，探讨白帽人才的能力现状 一、挖洞能力 挖洞能力是白帽子的核心能力。调研显示，2023年，国内白帽子人均向各大平台提交各类安全漏洞48个，较2022年人均69个减少了30.4%。其中，约有45.6%的白帽人才，每年人均提交有效安全漏洞数量超过10个，更有约4.6%的白帽人才每年人均提交有效漏洞数量超过300个，堪称漏洞界的“超级挖掘机”。 二、收入能力 通过挖洞或参加实战攻防演习。获取奖金收入，是白帽人才获取收入的重要方式。调研显示，2023年，国内白帽子每年人均可通过挖洞或参与演习获取奖金收入约34674元，较2022年的31573元增加了约9.8%。 调研具体结果分布，参见下图。 从最近三年白帽人才的人均挖洞年收入分布变化来看，白帽人才的收入正在经历持续性的结构调整：年挖洞收入高于5万的人群有显著减少，年挖洞收入在3000~5W元的人群比例没有太大变化，而年挖洞收入不足3000元的白帽子人数还在持续增加。这表明，初级白帽人群比例在持续增加，而高端白帽人才再持续减少。这是一个危险的信号。 三、专业证书 网络安全专业证书在一定程度上也可以成为白帽子技术水平的证明。调研发现，仅有39.0%的白帽人才目前仍属“无证人员”，61.0%为“持证上岗”，持证上岗比例较2022年的46.6%上升了14.4%，越来越多的白帽子愿意通过技能证书证明自己的能力。而在持证上岗人员中，持有NISP证书的人最多，达白帽人才总数的25.5%，其次是CISP证书，达17.6%。详细分布见下图。 与2022年白帽子持有证书情况对比，各类证书持有占比均有增加，其中NISP证书（国家信息安全水平考试）持有占比增长最多，由于CISP等证书，报名需要一定的工作经历或已经为信息安全领域专业技术人员，与其他证书相比，NISP证书更适合在校学生、从事初级网络信息类工作人群报考，一度被誉为“校园版CISP”。从这一角度也侧面证明了，更多的在校学生或仅有一点基础的白帽子新手正在涌入白帽人才市场。 四、自我培养 自我培养，自主学习，是白帽人才能力提升的主要途径。调研显示，我国白帽人才人均每周自学攻防技术的时间约为15.0小时，较2022年的14.3小时增加了0.7小时，自学时间在逐步增加。其中，自学时间小于5小时的人数约占20.5%；5~10小时的约占30.5%；10~15小时的约占18.5%，15~20小时的约占12.0%，。此外，还有13.5%的白帽子每周自学时间达20~50小时，堪称“白帽学霸”；更有5.0%的“白帽学神”每周自学攻防技术时间超过50小时，日均自学时间超过7个小时。 详细分析“白帽学神”我们发现，每周攻防时间超过50小时基本可以断定其业余时间几乎都在自学攻防技术。这类同学七成以上入行不足三年，可见众多初级白帽子正处于高速成长阶段，且自我管理能力较强，对攻防技术有浓厚的兴趣，愿意花大量的时间汲取更多的知识。我们相信越来越多“白帽大神”、“挖洞专家”们正在奋进的路上，未来将会有更多更强的白帽子与网安行业携手前行。 第二章白帽人才生活画像 生活中，白帽子究竟是怎样的一群人？他们有着什么样的特点与爱好？本章将主要结合本次调研，从性别、年龄、入行时间和业余爱好等几个方面，对生活中的白帽人才进行画像。 一、性别与年龄 在国内白帽人才中，“重男轻女”现象一直十分严重，但女性比例正在快速增长，已经成为不可忽视的力量。调研显示，2023年，在所有白帽人才中，男性占比91.8%，女性占比8.2%。具体分布如下图所示。 从年龄段分布来看，00后已经远远超过90后占据白帽人才半壁江山。Z世代成为白帽人才的主力群体。从数据分析，62.4%的白帽人才为00后，32.8%的白帽人才为90后，二者之和超过总数的95%。甚至已经有10后白帽人才，占比0.8%。具体分布如下图所示： 二、入行年龄与从业时长 调研显示，2023年国内活跃白帽人才的平均入行年龄约为21.6岁与2022年持平。绝大多数人还是在18岁~22岁间，也就是在读大学期间入行做的白帽子，占比约为60.0%；18岁以下入行的白