2024中国白帽人才能力与发展状况调研报告

中国白帽人才能力与发展状况调研报告 2024.10 补天漏洞响应平台 奇安信行业安全研究中心 主要观点 挖洞数量增加，收入增加。2024年，国内白帽子人均向各大平台提交各类安全漏洞93个，与前几年相比均有所提升，创历年最高。国内白帽子每年人均可通过挖洞或参与演习获取奖金收入约47262.3元，较2023年的34674元增加了36.3%。与近年整体平均奖金水平相比正在稳步回升。 初级白帽人群比例持续增加。调研显示，近八成白帽子入行不足三年，学生群体仍然是白帽人才最大的组成部分。 白帽子愿意通过技能证书证明自己的能力。仅有41.8%的白帽人才目前仍属“无证人员”，58.2%为“持证上岗”,大部分白帽子愿意通过技能证书证明自己的能力。 众多白帽子正处于高速成长阶段，且自我管理能力较强。调研发现，有5.1%的白帽子属于“白帽学神”，每周学习攻防技术时间超过50小时。这些白帽子正处于高速成长阶段，且自我管理能力较强，对攻防技术有浓厚的兴趣，愿意花大量的时间汲取更多的知识。我们相信越来越多“白帽大神”、“挖洞专家”们正在奋进的路上，未来将会有更多更强的白帽子与网安行业携手前行。 Z世代成为白帽人才完全主力，在挖洞爆肝的同时也会格外注重身体健康和个人成长。2024年国内活跃白帽人才的平均入行年龄约为21.7岁.67.7%的白帽人才为00后，27.6%的白帽人才为90后，二者之和超过总数的95%。 内向、我行我素、个人喜好优先的I人，是白帽人才的主力军。从大类上来看，74.5%的白帽子为倾向于独立思考的I人，60.0%的白帽子为更喜欢计划组织喜欢有序和可预测的J人。他们有坚定的理想和追求，他们不一定善于人际交往但追求内在和谐注重反 省和内省成长，又能够在必要的时候具备团队协作能力与领导力。他们追求内在的和谐与平衡。善于调节自己的情绪和状态，能够保持内心的平静和稳定。强烈的个人价值观和道德标准，使他们推动社会和谐等方向有着自己的尊重和坚守。在快速发展的安全领域，这种精神尤为重要。这都是白帽人才需要的特性。 摘要 白帽人才能力现状 调研显示，2024年，国内白帽子人均向各大平台提交各类安全漏洞93个，较前几年相比均有所提升，创历年最高。其中，约有61.1%的白帽人才，在过去一年中提交安全漏洞超过10个，更有超过10.0%的白帽人才过去一年中提交漏洞数量超过300个。 2024年，国内白帽子每年人均可通过挖洞或参与演习获取奖金收入约47262.3元，较2023年的34674元同比增长了36.3%。 有41.8%的白帽人才目前仍属“无证人员”，58.2%为“持证上岗”，持证上岗比例较2023年的61.0%下降了4.6%。但与2022年46.6%相比上升了24.9%。 我国白帽人才人均每周自学攻防技术的时间约为13.4小时，5.1%的“白帽学神”每周自学攻防技术时间超过50小时，日均自学时间超过7个小时。 白帽人才生活画像 2024年，在所有白帽人才中，男性占比92.7%，女性占比7.3%。 2024年国内活跃白帽人才的平均入行年龄约为21.7岁，从年龄段分布来看，00后成为白帽人才完全主力军，占比67.1%。其次为90后，占比27.6%。 当前国内活跃白帽人才的平均从业时长约为2.7年，较2023年的2.4年增长0.3年。 调研显示，白帽人才最喜欢的业余爱好是打游戏，有56.6%的白帽子表示最喜欢在业余时间打游戏；其次是刷短视频和运动健身，占比分别为49.7%和48.5%。 统计显示，INFJ类（倡导者）占比最多，达到23.0%，其次是INFP（调停者）占比14.5%。从大类上来看，74.5%的白帽子为倾向于独立思考的I人，60.0%的白帽子为更喜欢计划组织喜欢有序和可预测的J人。 白帽人才职业画像 学生群体仍然是白帽人才最大的组成部分，占比高达39.4%，其次是安全企业员工，占比约为25.4%。互联网行业，占比为9.9%。 在不考虑学生和职业挖洞人的情况下，渗透测试工程师是产出白帽子最多的岗位，约有54.4%的白帽子日常工作岗位是渗透测试工程师；13.2%的白帽子为安全运维工程师，排名第二；还有4.4%的白帽子为开发工程师。 调研显示，“个人的爱好”是最主要的驱动力，61.7%的白帽子是因为爱好而选择从事白帽工作。 国内第三方漏洞响应平台是白帽子提交安全漏洞的首选平台，占比为32.7%，其次为企业自建SRC、企业官方渠道或CNVD/CNNVD等国家漏洞响应平台，占比均为29.6%。白帽子在漏洞平台选择过程中，最为关注的两个因素分别是“奖金金额”和“安全性及法律风险”。占比分别为81.4%和60.7%。 白帽人才社会认同 约64.8%的白帽子认为白帽工作“非常酷”或“有点儿酷”，能够得到家人和亲友普遍支持的白帽人才约占比54.7%，刚刚超过一半。有2.3%的白帽子，其家人或亲友对其白帽工作持不支持或强烈反对态度，甚至还有约1.5%的白帽子表示，其家人和亲友总是劝其改行。 白帽人才社会交往 我们把一个白帽子所熟识的其他白帽子好友的人数，称为白帽子的“社交半径”。调研显示，2024年白帽子社交半径为平均21.5人。其中，41.8%的白帽子拥有3~10个白帽朋友，14.0%的白帽子拥有50个以上白帽朋友。 白帽人才与漏洞奖励 截至2024年9月，补天平台注册白帽137652名，向补天平台提交1,939,903个漏洞。 从报给补天平台并被收录的漏洞总数来看，挖洞最多的白帽子大约每天挖洞266个，堪称“挖洞”劳模。 关键词：补天、漏洞、白帽子、画像、生活、职业、能力、认同 目录 研究背景1 第一章白帽人才能力现状2 一、挖洞能力2 二、收入能力2 三、专业证书3 四、自我培养4 第二章白帽人才生活画像6 一、性别与年龄6 二、入行年龄与从业时长7 三、业余爱好8 四、MBTI8 第三章白帽人才职业画像9 一、行业分布9 二、岗位分布9 三、入行原因10 四、漏洞平台选择10 五、工作中的阻碍11 第四章白帽人才社会认同12 一、自我认同度12 二、亲友支持度12 三、爱情认同度13 第五章白帽人才社会交往14 一、白帽子的社交半径14 二、白帽聚会参与度15 三、安全会议关注度15 第六章白帽人才与漏洞奖励16 附录补天漏洞响应平台17 随着网络安全实践工作的持续深入发展，白帽子已经成为了各项网络安全工作中不可或缺的关键要素，白帽人才培养也是我国网络安全人才发展战略的重要组成部分。为了更加深入、全面的了解我国白帽人才的发展全貌，补天漏洞响应平台与奇安信行业安全研究中心联合展开了本次以白帽人才能力与发展现状为核心的调研工作，期望能够为促进白帽人才综合能力建设与发展提供积极的、有益的参考。 补天漏洞响应平台不仅是一个专业漏洞响应平台，同时也长期专注于白帽人才队伍的建设，通过线上社区、专业沙龙、破解大赛、白帽大会等多种形式，持续促进我国白帽人才的实战技术交流、政策法规学习及长期能力培养。截至2024年9月，平台注册白帽子已达到 13.7万余名，累计为46.8万家企业报告的漏洞超过193万多个。 2024年8月，补天漏洞响应平台联合奇安信行业安全研究中心，邀请五百位活跃的白帽子展开调研，形成了这份《中国白帽人才能力与发展状况调研报告》。报告从白帽人才能力现状、生活与工作情况、社会认同及社交生活等多个方面，对白帽人才的能力与发展现状进行了分析。 希望此项研究成果能够对促进白帽人才自我学习与发展，为全社会对白帽工作的认同与支持提供积极有益的参考。 第一章白帽人才能力现状 本章主要从挖洞、收入、学历、证书、自我培养等几个方面，探讨白帽人才的能力现状 一、挖洞能力 挖洞能力是白帽子的核心能力。调研显示，2024年，国内白帽子人均向各大平台提交各类安全漏洞93个，创历年最高。其中，约有61.1%的白帽人才，在过去一年中提交安全漏洞超过10个，更有超过10.0%的白帽人才全年提交漏洞超过300个。具体分布如下图。 二、收入能力 通过挖洞或参加实战攻防演习获取奖金收入，是白帽人才获取收入的重要方式。调研显示，2024年，国内白帽子每年人均可通过挖洞或参与演习获取奖金收入约47262.3元，较2023年的34674元同比增长了36.3%。与近年整体平均奖金水平相比正在稳步回升。 下图给出了2024年国内白帽人才通过挖洞或参与演习获取奖金收入的分布情况。其中， 年度奖金收入在3000元以下的白帽子占比约为53.7%，年度奖金超过10万元的白帽子占比约为9.2%，年度奖金收入在100万元以上的白帽子占比约为1.2%。 下图给出了近三年来白帽人才奖金收入分布的变化情况。总体来看，白帽人才收入的结构性调整仍在持续。相比于以往，2024年，奖金收入超过10万元的高端白帽人才比例有明显上升，年度奖金收入位于1w~10w的人群也有所增加。这表明，白帽人才在持续不断注入新鲜血液的同时，并未懈怠，正努力奋斗向更高端的技术能力方向迈进。与前两年高端白帽人才持续减少现象相比有所缓解，正在朝更好的趋向发展。 三、专业证书 网络安全专业证书在一定程度上也可以成为白帽子技术水平的证明。调研发现，有41.8% 的白帽人才目前仍属“无证人员”，58.2%为“持证上岗”，持证上岗比例较2023年的61.0% 下降了2.8个百分点，但与2022年46.6%相比仍上升了12.4个百分点。这说明大部分白帽子愿意通过技能证书证明自己的能力。而在持证上岗人员中，持有NISP证书的人最多，达 白帽人才总数的27.4%，其次是CISP证书，达16.8%。详细分布见下图。 据统计，在有意愿考取网络安全类技能证书的白帽子中，平均每人持有网络安全技能证书1.6个。与2023年白帽子持有证书情况对比，各类证书持有占比均有增加，其中NISP证书（国家信息安全水平考试）持有占比最多。相比于CISP等需要一定的工作经历或已经成为信息安全领域专业技术人员才能考取的证书，NISP证书的考取没有太多前置条件，更适合在校学生及从事初级网络信息类工作人群报考。NISP证书因此也被称为“校园版CISP”。 四、自我培养 自我培养，自主学习，是白帽人才能力提升的主要途径。调研显示，我国白帽人才人均每周自学攻防技术时间约为13.4小时，较2023年的15.0小时减少了10.7%。其中，自学时间小于5小时的人数约占28.0%；5~10小时的约占33.1%，10~15小时的约占13.0%。此外，还有9.9%的白帽子每周自学时间达20~50小时，堪称“白帽学霸”；更有5.1%的“白帽学神”每周自学攻防技术时间超过50小时，日均自学时间超过7个小时。 详细分析“白帽学神”我们发现，每周平均学习50小时以上相关技术的“学神”六成持有一个或更多技能证书。其中52.0%的受访者白帽子生涯不足3年，24.0%开启白帽子生涯超过十年。可见入行前三年是众多初级白帽子高速成长的阶段，且有较强的学习动力和自我管理能力，对攻防技术有浓厚的兴趣，愿意花大量的时间汲取更多的知识。与此同时“白帽大神”、“挖洞专家”也不是完全靠天赋异禀，都是时间技术经验的累计而成。古之立大事者,不惟有超世之才,亦必有坚韧不拔之志。我们相信越来越多的“白帽大神”们正在奋进的路上，未来将会有更多更强的白帽子与网安行业携手前行。 第二章白帽人才生活画像 生活中，白帽子究竟是怎样的一群人？他们有着什么样的特点与爱好？本章将主要结合本次调研，从性别、年龄、入行时间和业余爱好等几个方面，对生活中的白帽人才进行画像。 一、性别与年龄 在国内白帽人才中，近年来行业性别构成一直呈现出显著的男性倾向，女性从业者相对较少。随着行业对性别平等的重视和推动，女性正逐渐成为变革的驱动力，她们的参与和贡献正被广泛认可和鼓励。这是一个充满机遇的时代，女性加入这个行业不仅能够促进其多元化发展，还能够享受到个人成长和职业发展的巨大潜力。调