年挖洞超過300個(gè)，獎金收入過百萬，2021白帽人才報(bào)告新鮮出爐！

9月17日，由補(bǔ)天漏洞響應(yīng)平臺和奇安信集團(tuán)聯(lián)合主辦的2021補(bǔ)天白帽大會在京召開。會議期間，補(bǔ)天漏洞響應(yīng)平臺聯(lián)合奇安信行業(yè)安全研究中心，正式發(fā)布了《2021中國白帽人才能力與發(fā)展?fàn)顩r調(diào)研報(bào)告》，從專業(yè)技能、日常生活、社會交往、職業(yè)規(guī)劃等多個(gè)維度，全面揭示了我國白帽人才的現(xiàn)狀。

報(bào)告顯示，在國內(nèi)良好的政策環(huán)境和產(chǎn)業(yè)環(huán)境推動之下，我國白帽人才，總體能力建設(shè)持續(xù)提升，在很大程度上推動了我國網(wǎng)絡(luò)安全產(chǎn)業(yè)的健康發(fā)展。

每20名白帽就有1人年挖洞數(shù)量超過300個(gè)

挖洞能力是白帽子的核心能力。調(diào)研顯示，國內(nèi)很多白帽子都曾向多個(gè)平臺多次提交過安全漏洞。其中，約有38.8%的白帽人才，每年人均提交有效安全漏洞數(shù)量超過10個(gè)，更有約4.7%的白帽人才每年人均提交有效漏洞數(shù)量超過300個(gè)，堪稱漏洞界的“超級挖掘機(jī)”，大約每20名白帽子中便有1人。

通過挖洞或參加實(shí)戰(zhàn)攻防演習(xí)獲取獎金收入，是白帽人才獲取收入的重要方式。調(diào)研顯示，我國近四成的白帽子年均獎金收入在3000元以下，約六成在1萬元以下。而年均獎金超過10萬元的白帽子約占17.0%，約0.4%的白帽子年獎金收入超過100萬元。

按照補(bǔ)天平臺目前累計(jì)注冊白帽人才7.9萬人估算，國內(nèi)目前可能已經(jīng)誕生了超過300位年獎金收入超過100萬元的“白帽大亨”。

特別值得一提的是，已經(jīng)有越來越多的大型企業(yè)愿意為高價(jià)值漏洞提供高額獎金。2021年，就有企業(yè)SRC通過補(bǔ)天平臺向白帽子支付了高達(dá)13萬元的單個(gè)漏洞獎金。

10后已嶄露頭角，絕大部分白帽入行因個(gè)人愛好

數(shù)據(jù)顯示，目前我國白帽子大部分為95年以后生人，其中00后已經(jīng)成為國內(nèi)白帽人才的主力軍，占比高達(dá)38.4%，在各個(gè)年齡段中排名第一。其次是95后，占比為34.6%。調(diào)研同時(shí)顯示，已經(jīng)有少量的10后年輕人加入了白帽子的隊(duì)伍，占比約為0.3%，雖然人數(shù)不多，但也能明顯看出，越來越年輕的白帽子加入到了維護(hù)網(wǎng)絡(luò)安全正義的隊(duì)伍中來。

雖然00后白帽人才已經(jīng)崛起，但絕大多數(shù)白帽子還是在成年以后才入的行。調(diào)研顯示，18歲之前就已開啟自己白帽生涯的年輕人只占當(dāng)前國內(nèi)白帽人才總數(shù)的16.1%。絕大多數(shù)人還是在18歲~22歲間，也就是在讀大學(xué)期間入行做的白帽子，占比約為52.4%。

此外，也有約2.2%的人是在35歲以后才開始學(xué)習(xí)挖洞做的白帽子。這部分人大多是多年從事網(wǎng)絡(luò)安全工作或企業(yè)信息化建設(shè)的專業(yè)工程師，他們雖然精力和體力遠(yuǎn)不及20歲上下的年輕人，但豐富的實(shí)戰(zhàn)經(jīng)驗(yàn)，以及對企業(yè)業(yè)務(wù)和信息化系統(tǒng)的熟悉，使得他們往往比年輕人更擅長挖掘與企業(yè)業(yè)務(wù)或信息化架構(gòu)相關(guān)的安全漏洞。

是什么原因驅(qū)使白帽子從事挖洞、攻防等網(wǎng)絡(luò)安全工作的呢？ 64.2%的受訪者表示，“個(gè)人愛好”是他們從事白帽工作的首要原因。此外，抱有“安全的理想”、“增加個(gè)人收入”、“本職工作要求”等因素，也是影響白帽人才入行的重要驅(qū)動力。還有約1.2%的人是因?yàn)?ldquo;受名人感召”而入行。

超過三分之一的白帽子是學(xué)生

與想象中不同的是，白帽子并不都是專業(yè)的網(wǎng)絡(luò)安全工作者，而是來自各行各業(yè)。調(diào)研顯示，僅有約26.4%的白帽子來自專業(yè)的網(wǎng)絡(luò)安全企業(yè)。相比之下，學(xué)生群體則是白帽人才的首要來源，占比高達(dá)36.7%，這主要是由于相對于職場人而言，絕大多數(shù)學(xué)生擁有相對自由的時(shí)間，來從事漏洞挖掘工作。

此外不容忽視的是，約有5.8%的白帽人才為自由職業(yè)者，也可以說是“職業(yè)白帽”，獎金收入是這些白帽子的重要經(jīng)濟(jì)來源。按照補(bǔ)天平臺目前累計(jì)注冊白帽人才7.9萬人計(jì)算，國內(nèi)以獎金為主要收入的“職業(yè)白帽”群體規(guī)模已經(jīng)超過4500人。隨著漏洞價(jià)值的持續(xù)提升，實(shí)戰(zhàn)攻防演習(xí)日益受到更高重視，白帽子的獎金收入也會“水漲船高”，預(yù)計(jì)未來幾年，這一群體的規(guī)模仍有望持續(xù)、快速增長。

那么這些白帽子究竟來源于什么崗位呢？調(diào)研顯示，在只考慮在政企單位就職的白帽子的情況下，有約53.2%的白帽子日常工作崗位是滲透測試工程師，占比最多；14.0%白帽子為安全運(yùn)維工程師，排名第二；還有4.7%的白帽子為測試工程師，具體分布如下圖所示。

多數(shù)人認(rèn)為白帽子很酷，但白帽子認(rèn)同度仍有待進(jìn)一步提升

絕大多數(shù)白帽人才對自己的白帽子身份和白帽工作非常認(rèn)同，近8成的白帽子認(rèn)為白帽工作非�？峄蛴悬c(diǎn)兒酷。甚至有13.2%的受訪者認(rèn)為，白帽子作為一個(gè)很酷的職業(yè)，非常有助于吸引異性，甚至?xí)�得到異性�?ldquo;崇拜”。 

當(dāng)然，并非所有的白帽子都持有類似的觀點(diǎn)。約10.2%的白帽子認(rèn)為，白帽子也只不過一份普通工作而已，沒什么特別的。5.8%的白帽子認(rèn)為，這是一項(xiàng)非常辛苦的工作。

另外值得關(guān)注的是，約有3.0%的白帽子覺得自己的白帽工作并不怎么光彩，甚至不好意思跟別人說。雖然有這種認(rèn)知的白帽人才占比不高，但這也在一定程度上表明，對于白帽工作的社會歧視仍然存在。

從另一個(gè)角度來看，約有2.3%的白帽子，其家人或親友對其白帽工作持“不支持”或強(qiáng)烈反對態(tài)度，甚至還有約1.0%的受訪者表示，其家人和親友總是勸其改行。這也再次說明，仍有一小部分社會群體，對白帽工作和白帽人才存在誤解和偏見。