0
9月17日,由补天漏洞响应平台和奇安信集团联合主办的2021补天白帽大会在京召开。会议期间,补天漏洞响应平台联合奇安信行业安全研究中心,正式发布了《2021中国白帽人才能力与发展状况调研报告》,从专业技能、日常生活、社会交往、职业规划等多个维度,全面揭示了我国白帽人才的现状。
报告显示,在国内良好的政策环境和产业环境推动之下,我国白帽人才,总体能力建设持续提升,在很大程度上推动了我国网络安全产业的健康发展。
挖洞能力是白帽子的核心能力。调研显示,国内很多白帽子都曾向多个平台多次提交过安全漏洞。其中,约有38.8%的白帽人才,每年人均提交有效安全漏洞数量超过10个,更有约4.7%的白帽人才每年人均提交有效漏洞数量超过300个,堪称漏洞界的“超级挖掘机”,大约每20名白帽子中便有1人。
通过挖洞或参加实战攻防演习获取奖金收入,是白帽人才获取收入的重要方式。调研显示,我国近四成的白帽子年均奖金收入在3000元以下,约六成在1万元以下。而年均奖金超过10万元的白帽子约占17.0%,约0.4%的白帽子年奖金收入超过100万元。
按照补天平台目前累计注册白帽人才7.9万人估算,国内目前可能已经诞生了超过300位年奖金收入超过100万元的“白帽大亨”。
特别值得一提的是,已经有越来越多的大型企业愿意为高价值漏洞提供高额奖金。2021年,就有企业SRC通过补天平台向白帽子支付了高达13万元的单个漏洞奖金。
数据显示,目前我国白帽子大部分为95年以后生人,其中00后已经成为国内白帽人才的主力军,占比高达38.4%,在各个年龄段中排名第一。其次是95后,占比为34.6%。调研同时显示,已经有少量的10后年轻人加入了白帽子的队伍,占比约为0.3%,虽然人数不多,但也能明显看出,越来越年轻的白帽子加入到了维护网络安全正义的队伍中来。
虽然00后白帽人才已经崛起,但绝大多数白帽子还是在成年以后才入的行。调研显示,18岁之前就已开启自己白帽生涯的年轻人只占当前国内白帽人才总数的16.1%。绝大多数人还是在18岁~22岁间,也就是在读大学期间入行做的白帽子,占比约为52.4%。
此外,也有约2.2%的人是在35岁以后才开始学习挖洞做的白帽子。这部分人大多是多年从事网络安全工作或企业信息化建设的专业工程师,他们虽然精力和体力远不及20岁上下的年轻人,但丰富的实战经验,以及对企业业务和信息化系统的熟悉,使得他们往往比年轻人更擅长挖掘与企业业务或信息化架构相关的安全漏洞。
是什么原因驱使白帽子从事挖洞、攻防等网络安全工作的呢? 64.2%的受访者表示,“个人爱好”是他们从事白帽工作的首要原因。此外,抱有“安全的理想”、“增加个人收入”、“本职工作要求”等因素,也是影响白帽人才入行的重要驱动力。还有约1.2%的人是因为“受名人感召”而入行。
与想象中不同的是,白帽子并不都是专业的网络安全工作者,而是来自各行各业。调研显示,仅有约26.4%的白帽子来自专业的网络安全企业。相比之下,学生群体则是白帽人才的首要来源,占比高达36.7%,这主要是由于相对于职场人而言,绝大多数学生拥有相对自由的时间,来从事漏洞挖掘工作。
此外不容忽视的是,约有5.8%的白帽人才为自由职业者,也可以说是“职业白帽”,奖金收入是这些白帽子的重要经济来源。按照补天平台目前累计注册白帽人才7.9万人计算,国内以奖金为主要收入的“职业白帽”群体规模已经超过4500人。随着漏洞价值的持续提升,实战攻防演习日益受到更高重视,白帽子的奖金收入也会“水涨船高”,预计未来几年,这一群体的规模仍有望持续、快速增长。
那么这些白帽子究竟来源于什么岗位呢?调研显示,在只考虑在政企单位就职的白帽子的情况下,有约53.2%的白帽子日常工作岗位是渗透测试工程师,占比最多;14.0%白帽子为安全运维工程师,排名第二;还有4.7%的白帽子为测试工程师,具体分布如下图所示。
绝大多数白帽人才对自己的白帽子身份和白帽工作非常认同,近8成的白帽子认为白帽工作非常酷或有点儿酷。甚至有13.2%的受访者认为,白帽子作为一个很酷的职业,非常有助于吸引异性,甚至会得到异性的“崇拜”。
当然,并非所有的白帽子都持有类似的观点。约10.2%的白帽子认为,白帽子也只不过一份普通工作而已,没什么特别的。5.8%的白帽子认为,这是一项非常辛苦的工作。
另外值得关注的是,约有3.0%的白帽子觉得自己的白帽工作并不怎么光彩,甚至不好意思跟别人说。虽然有这种认知的白帽人才占比不高,但这也在一定程度上表明,对于白帽工作的社会歧视仍然存在。
从另一个角度来看,约有2.3%的白帽子,其家人或亲友对其白帽工作持“不支持”或强烈反对态度,甚至还有约1.0%的受访者表示,其家人和亲友总是劝其改行。这也再次说明,仍有一小部分社会群体,对白帽工作和白帽人才存在误解和偏见。
雷锋网雷锋网
雷峰网版权文章,未经授权禁止转载。详情见转载须知。