白帽人才能力现状

原创

wx63a586e60e767 2023-01-01 11:15:39 ©著作权

©著作权归作者所有：来自51CTO博客作者wx63a586e60e767的原创作品，请联系作者获取转载授权，否则将追究法律责任

声明

本文是学习中国白帽人才能力与发展状况调研报告. 下载地址而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

研究背景

随着网络安全实践工作的持续深入发展，白帽子已经成为了各项网络安全工作中不可或缺的关键要素，白帽人才培养也是我国网络安全人才发展战略的重要组成部分。为了更加深入、全面的了解我白帽人才的发展全貌，补天漏洞响应平台与奇安信行业安全研究中心联合展开了本次以白帽人才能力与发展现状为核心的调研工作，期望能够为促进白帽人才综合能力建设与发展提供积极的、有益的参考。

补天漏洞响应平台不仅是一个专业漏洞响应平台，同时也长期专注于白帽人才队伍的建设，通过线上社区、专业沙龙、破解大赛、白帽大会等多种形式，持续促进我国白帽人才的实战技术交流、政策法规学习及长期能力培养。截至2021年7月1日，补天漏洞响应平台共有注册白帽子人才79246位，累计收录白帽子提交的各类有效网络安全漏洞617917个。

2021年1月，补天漏洞响应平台联合奇安信安服团队，结合1900余个目标系统的攻防实战经验，首次系统性地总结了“实战化白帽子能力需求图谱”，并以此图谱为基础，邀请645名白帽子进行了能力调研，形成了《中国实战化白帽人才能力白皮书》。该白皮书给出的“能力图谱”框架，已经被很多教育及科研机构所引用，作为白帽人才能力学习的重要参考框架。

2021年9月，补天漏洞响应平台联合奇安信行业安全研究中心，再次邀请991位活跃的白帽子展开调研，历时近三个月，形成了这份《中国白帽人才能力与发展状况调研报告》。报告从白帽人才能力现状、生活与工作情况、社会认同及社交生活等多个方面，对白帽人才的能力与发展现状进行了分析。

希望此项研究成果能够对促进白帽人才自我学习与发展，促进全社会对白帽工作的认同与支持提供积极有益的参考。

白帽人才能力现状

本章主要从挖洞、收入、学历、证书、自我培养等几个方面，探讨白帽人才的能力现状

挖洞能力

挖洞能力是白帽子的核心能力。调研显示，国内很多白帽子都曾向多个平台多次提交过安全漏洞。其中，约有38.8%的白帽人才，每年人均提交有效安全漏洞数量超过10个，更有约4.7%的白帽人才每年人均提交有效漏洞数量超过300个，堪称漏洞界的“超级挖掘机”。

白帽人才能力现状_实战经验

专注免费分享高质量文档

收入能力

通过挖洞或参加实战攻防演习获取奖金收入，是白帽人才获取收入的重要方式。调研显示，我国近四成的白帽子年均奖金收入在3000元以下，约六成在1万元以下。而年均奖金超过10万元的白帽子约占17.0%，约0.4%的白帽子年奖金收入超过100万元。

白帽人才能力现状_实战经验_02

专注免费分享高质量文档

按照补天平台目前累计注册白帽人才7.9万人计算，国内目前可能已经诞生了超过300位年奖金收入超过100万元的“白帽大亨”。

特别值得一提的是，已经有越来越多的大型企业愿意为高价值漏洞提供高额奖金。2021年，就有企业SRC通过补天平台向白帽子支付了高达13万元的单个漏洞奖金。

学历状况

尽管学历高低并不能代表单个白帽人才的实战能力水平，但学历状况的整体分布却可以在一定程度上反映出当前国内白帽人才的综合能力水平。调研显示，目前国内白帽人才群体中，具有本科及以上（含在读）学历的白帽子约占白帽人才总数66.3%，其中，博士0.9%、硕士5.1%，此外，还有26.7%为大专学历、5.1%为高中学历、1.9%为初中学历。总体来看，目前国内白帽人才的学历状况是：“本科是标配，博士很金贵”。

白帽人才能力现状_实战经验_03

专注免费分享高质量文档

专业证书

网络安全专业证书在一定程度上也可以成为白帽子技术水平的证明。调研发现，约46.4%的白帽人才目前仍属 “无证人员”，53.6%为“持证上岗”。而在持证上岗人员中，持有CISP证书的人最多，达13.9%；其次为CISP-PTE，为8.5%。详细分布见下图。

白帽人才能力现状_github_04

专注免费分享高质量文档

自我培养

自我培养，自主学习，是白帽人才能力提升的主要途径。调研显示，我国白帽人才人均每周自学黑客技术的时间已经超过15.0个小时。其中，自学时间小于5小时人数约占29.9%； 5-10小时的约占28.3%；11-15小时的约占10.0%，16-20小时的约占9.7%，。此外，还有14.1%的白帽子每周自学时间达20-50小时，堪称“白帽学霸”；更有8.0%的“白帽学神”每周自学黑客技术时间超过50小时，日均自学时间超过7个小时。

白帽人才能力现状_github_05

专注免费分享高质量文档

白帽人才生活画像

生活中，白帽子究竟是怎样的一群人？他们有着什么样的特点与爱好？本章将主要结合本次调研，从性别、年龄、入行时间、地域分布和业余爱好等几个方面，对生活中的白帽人才进行画像。

性别与年龄

在当前国内白帽人才中，“重男轻女”现象仍然十分严重。调研显示，在所有白帽子中，男性占比高达95.4%，而女性仅有4.6%，男女比例高达约21比1。实际上，多年来，女性白帽人才占比始终徘徊在5%左右。

白帽人才能力现状_实战经验_06

专注免费分享高质量文档

从年龄分布来看，00后已经成为国内白帽人才的主力军，占比高达38.4%，在各个年龄段中排名第一。其次是95后，占比为34.6%。调研同时显示，已经有少量的10后年轻人加入了白帽子的队伍，占比约为0.3%，虽然人数不多，但后生可畏。

白帽人才能力现状_实战经验_07

专注免费分享高质量文档

入行年龄与从业时长

虽然00后白帽人才已经崛起，但绝大多数白帽子还是在成年以后才入的行。调研显示，18岁之前就已开启自己白帽生涯的年轻人只占当前国内白帽人才总数的16.1%。绝大多数人还是在18岁~22岁间，也就是在读大学期间入行做的白帽子，占比约为52.4%。

此外，也有约2.2%的人是在35岁以后才开始学习挖洞做的白帽子。这部分人大多是多年从事网络安全工作或企业信息化建设的专业工程师，他们虽然精力和体力远不及20岁上下的年轻人，但丰富的实战经验，以及对企业业务和信息化系统的熟悉，使得他们往往比年轻人更擅长挖掘与企业业务或信息化架构相关的安全漏洞。

白帽人才能力现状_实战经验_08

专注免费分享高质量文档

从从业时间长短来看，当前国内白帽人才群体中，约七成入行时间超过1年，不足一年的仅占33.0%。有近半数的白帽人才入行时间1-3年；仅有约17.1%的白帽子有超过4年的相关工作经历，其中4—5年的为11.7%，6—10年的为4.0%，而十年以上的只占1.4%。

白帽人才能力现状_github_09

专注免费分享高质量文档

原产地分布

从地域分布来看，北京是全国最大的白帽人才“生产基地”，白帽人才约占全国总量的11.2%，相当于每9个白帽子，就有一个来自北京。其次是广州（7.4%）、成都（6.38%）、济南（4.5%）、上海（4.22%）、西安（3.9%）、郑州（3.6%）、深圳（3.5%）和杭州（3.3%）；其余城市占比均在3%以下。

白帽人才能力现状_实战经验_10