声明

本文是学习2022中国白帽人才能力与发展状况调研报告. 下载地址 http://github5.com/view/55039而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
github5.com 专注免费分享高质量文档

中国白帽人才能力与发展状况调研报告

2022.11

补天漏洞响应平台

奇安信行业安全研究中心

概述

挖洞数量上升，奖金收入下降： 2022年，国内白帽人才平均每人每年向各大漏洞平台提交的安全漏洞数量为69个,较2021年增长46.8%，这是国内白帽人才挖洞能力普遍提升的一种体现。不过，受到新手白帽持续增加、高价值漏洞越来越难挖、疫情影响企业安全投入等多方面因素的影响，国内白帽人均年度奖金收入从2021年的57679元下，降到2022年的31573元，降幅高达45.3%。
女性白帽崛起，人才更新换代： 在国内白帽人才中，“重男轻女”现象仍然十分严重，但女性白帽占比已经从2021年的4.6%，增长至2022年的11.8%，增长了1.4倍，女性白帽子已经成为不可忽视的安全力量。此外，总体来看，80后、90后的白帽人才数量同比都有所下降，而00后、10后的新生代占比却都有所增长。女性白帽崛起和人才更新换代，也意味着攻防技术正在悄悄的从少数人的爱好和专利，向高端普及型专业技术转变。
学历水平上升，持证上岗减少： 当前国内具有本科及以上（含在读）学历的白帽人才占比正在稳步增加，这得益于网络安全一级学科的持续扩招，同时也彰显了网络安全行业对白帽人才的吸引力。不过，2022年国内白帽人才的“持证上岗率”从2021年的53.6%大幅下降了到46.6%，这一变化应当警惕。
收入成为核心关注，保持理想追求务实： “增加收入”是白帽入行的第二大原因，“奖金额度”是平台选择的首要因素，“激励不足”是白帽工作的最大阻碍。本次调研结果显示，白帽人才对收入和奖金的关注程度前所未有。与此同时，认为白帽子也只不过是一份普通工作，甚至是一份苦B的工作的白帽子人数也越来越多。这种情况的出现可能并非偶然：漏洞挖掘进入深水区，遍地是洞时代已经远去，仅靠“理想”难以长期支撑一项艰巨的事业。“理性需求”的逐步回归，可能恰恰是网络安全工作不断规范化，白帽工作日益步入正轨的必然结果，也是行业持续发展、白帽队伍不断壮大的必然要求。
企业SRC受欢迎，和谐共赢促发展 ：31.5%的白帽子首选向企业自建SRC或企业官方渠道提交漏洞，这一比例较2021年的17.6%大幅提升了13.9个百分点，成为白帽子心中排名第二的漏洞提交平台，仅次于第三方漏洞响应平台，首次排在CNVD/CNNVD等国家漏洞响应平台之前。企业SRC受欢迎，是企业SRC正在日趋完善的表现，也标志着企业和白帽子之间的关系正在进一步走向“和谐共赢”。
互联网行业寒冬，白帽子挖洞自救 ：以往在白帽人才中不太显著的互联网行业，一跃成为2022年白帽人才产出的第三大来源，占比约为16.4%。一向被人们普遍认为是薪资丰厚的互联网行业工程师，也会出来兼职挖洞挣外快，从侧面反映出互联网行业正在经历的“艰难时期”。

摘要

白帽人才能力现状

2022年，国内白帽子人均向各大平台提交各类安全漏洞69个，较2021年人均47个增长了46.8%，白帽子的漏洞挖掘能力普遍提升。
2022年，国内白帽子每年人均可通过挖洞或参与演习获取奖金收入约31573元，较2021年的57679元下降了约45.3%。
目前国内白帽人才群体中，具有本科及以上（含在读）学历的白帽子约占白帽人才总数68.3%，较2021年的66.4%提升了1.9个百分点。其中，本科占比61.5%，研究生及以上占比6.8%。
约53.4%的白帽人才目前仍属 “无证人员”，46.6%为“持证上岗”，持证上岗比例较2021年的53.6%下降了7.0个百分点。而在持证上岗人员中，持有NISP证书的人最多，达白帽人才总数的19.1%，其次是CISP证书，达16.9%。
我国白帽人才人均每周自学攻防技术的时间约为14.3小时，较2021年的14.8小时减少了30分钟。其中，自学时间小于5小时人数约占21.7%。6.4%的“白帽学神”每周自学攻防技术时间超过50小时，日均自学时间超过7个小时。

白帽人才生活画像

2022年，在所有白帽人才中，男性占比88.2%，女性占比11.8,%，男女比例约7.5比1。女性占比较2021年的4.6%增长了7.2个百分点。
90后、00后仍然是白帽人才的主力群体，占比分别为50.3%和43.4%。
2022年国内活跃白帽人才的平均入行年龄约为21.6岁，较2021年的21.9岁下降了0.3岁。其中，绝大多数人还是在18岁~22岁间入行做的白帽子，占比约为55.9%。
当前国内活跃白帽人才的平均从业时长约为2.6年，较2021年的2.3年增长0.3年。
有60.5%的白帽子表示最喜欢在业余时间打游戏；运动健身和刷短视频，占比分别为44.8%和43.7%。

白帽人才职业画像

学生、安全企业、互联网是白帽人才最主要的行业来源。在所有白帽人才中，37.7%是学生群体、26.5%来自安全企业、16.4%来自互联网行业。
在不考虑学生和职业挖洞人的情况下，渗透测试工程师是产出白帽子最多的岗位，占比约为56.5%；16.5%的白帽子为安全运维工程师，排名第二。
64.9%的白帽子是因为爱好而选择从事白帽工作。此外，“增加个人收入”、“安全的理想”和“本职工作要求”等因素，也是影响白帽人才入行的重要驱动力。
国内第三方漏洞响应平台目前仍然是白帽子提交安全漏洞的首选平台，占比达32.4%。另有31.5%的白帽子首选向企业自建SRC或企业官方渠道提交漏洞，这一比例较2021年的17.6%大幅提升了13.9个百分点，成为白帽子心中排名第二的漏洞提交首选平台。

白帽人才社会认同

绝大多数白帽人才对自己的白帽子身份和白帽工作非常认同，近七成的白帽子认为白帽工作非常酷或有点儿酷。
能够得到家人和亲友普遍支持的白帽人才约占比51.0%，刚刚超过一半。约有2.2%的白帽子，其家人或亲友对其白帽工作持不支持或强烈反对态度。
尽管68.2%的白帽子认为这个职业不会给择偶带来太大的影响，但也有15.2%的白帽子认为，白帽作为一个很酷的职业，非常有助于吸引异性，甚至会得到异性的“崇拜”。

白帽人才社会交往

我们把一个白帽子所熟识的其他白帽子好友的人数，称为白帽子的“社交半径”。调研显示，国内白帽子的社交半径正在逐渐扩大，2021年为平均16.0人，而2022年为平均19.4人。
约有36.3%的白帽子非常愿意或经常参加白帽聚会，约有18.6%的白帽子还会愿意经常自己组织白帽聚会。
约有42.5%的白帽子非常愿意或经常参加各类大型网络安全会议，约有29.8%的白帽子愿意自掏腰包参会，甚至是跨城参会。而表示自己从不外出参会的白帽子，仅占受访者的13.8%。

关键词 ：补天、漏洞、白帽子、白帽人才