声明
本文是学习2022中国白帽人才能力与发展状况调研报告. 下载地址而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
研究背景
随着网络安全实践工作的持续深入发展,白帽子已经成为了各项网络安全工作中不可或缺的关键要素,白帽人才培养也是我国网络安全人才发展战略的重要组成部分。为了更加深入、全面的了解我白帽人才的发展全貌,补天漏洞响应平台与奇安信行业安全研究中心联合展开了本次以白帽人才能力与发展现状为核心的调研工作,期望能够为促进白帽人才综合能力建设与发展提供积极的、有益的参考。
补天漏洞响应平台不仅是一个专业漏洞响应平台,同时也长期专注于白帽人才队伍的建设,通过线上社区、专业沙龙、破jie大赛、白帽大会等多种形式,持续促进我国白帽人才的实战技术交流、政策法规学习及长期能力培养。截至2022年10月,平台注册白帽子已达到10万余名,累计为31万多家企业报告的漏洞超过101万个。
2022年7月,补天漏洞响应平台联合奇安信行业安全研究中心,邀请581名活跃的白帽子展开调研,形成了这份《中国白帽人才能力与发展状况调研报告》。报告从白帽人才能力现状、生活与工作情况、社会认同及社交生活等多个方面,对白帽人才的能力与发展现状进行了分析。
希望此项研究成果能够对促进白帽人才自我学习与发展,促进全社会对白帽工作的认同与支持提供积极有益的参考。
白帽人才能力现状
本章主要从挖洞、收入、学历、证书、自我培养等几个方面,探讨白帽人才的能力现状
挖洞能力
挖洞能力是白帽子的核心能力。调研显示,2022年,国内白帽子人均向各大平台提交各类安全漏洞69个,较2021年人均47个增长了46.8%,白帽子的漏洞挖掘能力普遍提升。其中,约有58.3%的白帽人才,每年人均提交有效安全漏洞数量超过10个,更有约6.6%的白帽人才每年人均提交有效漏洞数量超过300个,堪称漏洞界的“超级挖掘机”。
收入能力
通过挖洞或参加实战攻fang演习。获取奖金收入,是白帽人才获取收入的重要方式。调研显示,2022年,国内白帽子每年人均可通过挖洞或参与演习获取奖金收入约31573元,较2021年的57679元下降了约45.3%。
白帽子人均收入水平的下降是多方面因素共同作用的结果:
- 近两年,国内很多大型政企机构的网络安全建设水平得到了实质性提升,特别是实战攻fang演习工作的持续开展,使得相关机构系统中的高危漏洞快速减少,高价值安全漏洞越来越难挖。
- 能力有限的新人白帽持续增长,导致年奖金收入3000元以下的白帽子比例大幅增加了近15个百分点,从而显著拉低了整体的平均奖金收入水平。
- 高产出高收益的职业挖洞人比例大幅减少了34.5%(参见第三章第一小节),越来越多的职业挖洞人转向寻找正式工作,从而导致年度奖金收入5万元、10万元、甚至是100万元以上的白帽子比例大幅下降。
- 受疫情和全球经济环境影响,部分大中型政企机构削减了企业的网络安全或SRC投入。
调研具体结果分布,参见下图。
学历状况
尽管学历高低并不能代表单个白帽人才的实战能力水平,但学历状况的整体分布却可以在一定程度上反映出当前国内白帽人才的综合能力水平。调研显示,目前国内白帽人才群体中,具有本科及以上(含在读)学历的白帽子约占白帽人才总数68.3%,较2021年的66.4%提升了1.9个百分点。其中,本科占比61.5%,研究生及以上占比6.8%。
本科以上学历白帽人才的稳步增加,得益于网络安全一级学科的持续扩招,新鲜血液不断注入。同时,这也在一定程度上反映出网络安全行业的生命力,正在吸引越来越多的高学历人才加入白帽队伍,白帽竞争也会日益激烈。下图给出了2021年和2022年的情况对比。
专业证书
网络安全专业证书在一定程度上也可以成为白帽子技术水平的证明。调研发现,约53.4%的白帽人才目前仍属 “无证人员”,46.6%为“持证上岗”,持证上岗比例较2021年的53.6%下降了7.0个百分点。而在持证上岗人员中,持有NISP证书的人最多,达白帽人才总数的19.1%,其次是CISP证书,达16.9%;其他各类证书的持证率均不超过10%。详细分布见下图。
自我培养
自我培养,自主学习,是白帽人才能力提升的主要途径。调研显示,我国白帽人才人均每周自学攻fang技术的时间约为14.3小时,较2021年的14.8小时减少了30分钟,自学时间正在变短。其中,自学时间小于5小时的人数约占21.7%; 5\10小时的约占31.7%;10\15小时的约占17.9%,15\20小时的约占10.8%,。此外,还有11.5%的白帽子每周自学时间达20\50小时,堪称“白帽学霸”;更有6.4%的“白帽学神”每周自学攻fang技术时间超过50小时,日均自学时间超过7个小时。
延伸阅读
更多内容 可以点击下载 2022中国白帽人才能力与发展状况调研报告. 进一步学习