360安全：2018中國白帽人才調查報告(53頁).pdf

1、中國白帽人才調查報告 中國白帽人才 調查報告 2 0 1 8 主要觀點 “年輕宅男”是白帽子群體的第一個顯著特征。調研顯 示， “男同學”是組成白帽子群體的主要人群，超過半 數的白帽子是 95 后。同時，白帽子人群的學歷結構正 在逐步提高，八成以上的白帽子擁有大?；虮究埔陨?學歷，甚至碩士、博士群體的加入也已經不再罕見。 “內行人”也正在越來越多向白帽子領域聚集。絕大多 數白帽子具備一定的學科基礎知識，并且半數以上已 就業白帽子仍在從事 IT、 互聯網等行業的工作。 “跨界” 挖洞的現象正逐步減少。 從生活上來看，白帽子是一群“愛玩不愛吃的單身夜 貓子” 。養成良好的生活習慣和找到自己的另一半

2、是白 帽子人生的最大課題。 白帽子還是一群愛學習， 有追求， 向往大城市生活的人； 他們希望能夠依靠自己的技術能力服務社會，改善生 活。而第三方漏洞平臺正是白帽子實現自己人生價值 的重要舞臺。 “愛挑你的毛病，很可能是因為她愛你” 。這句話似乎 也非常適合于白帽子群體。一個企業，越是受到白帽 子的關注，被白帽子報告的漏洞數量越多，這也說明 了這個企業或這個企業的產品深受白帽子們的歡迎。 企業遠比家人更懂白帽子，多數企業愿意為白帽子的 挖洞工作支付比較豐厚的酬勞。 中國白帽人才調查報告 1 2 摘 要 走進白帽子的生活空間 中國 95.4% 的白帽子是男性，男女性別比例高達 21:1，女生在白帽

3、子中屬于絕對的稀有品種。 白帽子的年齡集中在 90 后和 95 后。其中，95 后年 輕人占到了白帽子群體的 53.9%。 有超過 80% 的白帽子擁有?？苹虮究茖W歷，但有約 40% 白帽子群體為在校學生。 有將近 80% 的人學習的專業與信息技術相關學科有 關，如計算機科學與技術、網絡工程、軟件工程等。 其中， 來自信息安全專業的同學最多， 占比為 26.1%。 白帽子是一群“愛玩不愛吃的單身夜貓子” ，熬夜晚 睡也是一種生活常態。并且約 60% 的白帽子都是單 身狗。 走進白帽子的挖洞事業 有超過一半的白帽子工作在 IT、互聯網等行業。特別 值得注意的是，來自教育、國企、政府及事業單位和

4、金融領域的白帽子也不在少數。 在已經畢業工作的白帽子中，月收入在 8000-12000 元的占比最多，達到了 20% 以上；其次是月收入 中國白帽人才調查報告 3 5000-8000 元的白帽子，占比為 16.2% 左右。 87.1% 的學生白帽子表示希望畢業后能繼續從事網絡 安全相關工作。同時，對學生白帽子最有吸引力的網 絡安全工作崗位是滲透測試工程師。 超過半數的白帽子會更傾向于選擇給自己喜歡的企業 挖洞，而選擇給知名企業，或使用過其產品的企業挖 洞的白帽子也都接近半數。真正會專門選擇給自己不 喜歡的企業挖洞的白帽子僅占白帽子群體的 12.4%。 從白帽子關注的行業來看：互聯網行業排名第一

5、，關 注 度 為 66.3%；其 次 是 教 育 行 業，關 注 度 為 54.1%；排名第三的是政府機構和事業單位，關注度 為 49.3%。 當下白帽子們的“偏科”現象比較嚴重，對于移動互 聯網、物聯網等領域的漏洞挖掘能力仍然普遍不足。 約有 8.0% 的白帽子在各種漏洞提交平臺上提交過超 過 500 個漏洞?？胺Q“洞霸” 。 了解白帽子的自我期待 85.9% 的白帽子很期望獲得現金獎勵；比較重視榮譽 的占 50.5%。 中國當前的教育體系尚不足以實現白帽子攻防人才的 中國白帽人才調查報告 4 批量化培養，網上自學和拜師學藝仍是最主要的白帽 人才產出方式。 真正能靠挖洞來養家糊口的白帽子，目

6、前來說還只是 極少數，但高水平白帽子通過挖洞月入數萬也已經不 是什么新聞了。白帽子群體的能力差距仍然十分懸殊。 感受白帽子的社會認同 愿意為高危漏洞向白帽子支付 1000-3000 元酬金的 企業最多，占比為 29.1%；其次是 3000-10000 元， 占比為 25.2%；特別的，有 22% 的企業愿意為單個 高危漏洞向白帽子支付 10000 元以上的酬金。 近一半白帽子的家人并不是很清楚他們在做的事情； 16% 以上白帽子的家人對白帽子的工作表示不太理 解或非常不理解；而真正表示非常理解支持白帽子工 作的家人，占比僅為 13.4%。 中國白帽人才調查報告 目 錄 前 言 第一章 走進白帽

7、子的生活空間 白帽子的基本情況 白帽子的生活習慣 第二章 走進白帽子的挖洞事業 白帽子的職業發展 白帽子的挖洞技能 白帽子的自我提升 第三章 了解白帽子的自我期待 白帽子對職業未來的期待 白帽子對漏洞酬金的看法 白帽子對自我價值的認知 第四章 感受白帽子的社會認同 企業對白帽子的看法 家人對白帽子的看法 附錄 補天漏洞響應平臺 中國白帽人才調查報告 在網絡攻防的世界里存在兩種力量攻擊與防御。 攻擊者通常聰明且狡猾，潛伏在黑暗的角落，利用 技術手段對世界上的各種科技設備、系統、互聯網 等發起攻擊，使用攻擊竊取到的信息、數據完成違 法的交易；與之對抗的力量來自防御者，他們不斷 的修復各種網絡風險漏

8、洞，用來抵擋攻擊者們無孔 不入的滲透。 在防御者之中，有一支特別的隊伍，他們被人們稱 之為“白帽子” ，他們通常掌握著高超的攻擊技術， 卻堅守在正義的一方，成為防御者中不可缺少的寶 貴力量。 白帽子會以“攻擊者的視角”對企業網絡安全建設 發出挑戰，他們會在法律、規范、制度與測試環境 的制約下，對某些企業的設備或系統發起“模擬攻 擊” ，然后將自己在過程中發現的漏洞情況報告給相 關企業，指導企業對漏洞進行修復，防止犯罪攻擊 者們實施真正的“攻擊”行為，保障企業安全。 所以，白帽子通常被認為是互聯網的免疫系統。 但在這個攻與防的網絡世界里，白帽子們常常夜晚 工作的特性與高超的技術能力為他們蒙上了神

9、秘的 面紗，人們似乎對這個群體既充滿敬意又存有顧慮， 而這種神秘性與群體畫像的模糊性不僅影響了公眾對 前 言 中國白帽人才調查報告 他們的看法，也為一些白帽子帶來了困擾，比如他 們為一些企業提交的漏洞并不能得到企業的認可。 打破社會對白帽子群體認知的壁壘，是補天漏洞響 應平臺的一份責任，因此此份報告應勢而生。 此份調研報告，是我們發起規模最大的一次對于白 帽群體的調研，遍布全國 34 個省級行政區近 2000 名白帽子參與了本次調研。我們將調研結果整理成 四個維度， 共聚焦了白帽子群體學習生活， 職業發展、 職業期望、技術能力、社會價值以及他人的看法等 30 余個問題。在此份報告中，我們可以多

10、角度立體 的了解白帽子群體，并幫助白帽子們發現聚焦他們 最關心的問題。 在此份報告中，我們發現白帽子是一群年輕富有活力 的群體，他們熱愛技術也渴望技術能力的提升，他們 大部分人的偶像是像丹尼斯 里奇與肯 湯普生這 樣的技術先驅領袖，而且這樣一群少年擁有極強的社 會責任感與榮譽感，他們渴望通過“挖洞”得到自我 價值的實現，渴望被人認可，打開這份報告，我們一 同走進白帽子的世界。 第一章 白帽子這個稱號似乎有一種神秘的力量， 他們即讓人向往， 又讓人畏懼。 讓人向往是因為他們在虛擬的網絡世界中似 乎無所不能；讓人畏懼是因為他們的能力似乎無孔不入， 滲透進網絡世界的每一個角落。 有人說白帽子都是少年

11、郎， 有人說白帽子都是技術宅， 還有人說白帽子都是非主流。 那 么，這些 “世俗” 的眼光對不對呢？白帽子到底是一群什么 樣的人呢？ 就讓我們首先從白帽子個體特征和生活習慣開始，進入白 帽子的精彩世界吧。 走進白帽子的生活空間 2018 中國白帽人才調查報告 “年輕宅男”是白帽子群體的第一個顯著特征。 調研顯示， “男同學” 是組成白帽子群體的主要人群，超過半數的白帽 子是 95 后。 同時， 白帽子人群的學歷結構正在逐步提高， 八 成以上的白帽子擁有大?；虮究埔陨蠈W歷， 甚至碩士、 博士 群體的加入也已經不再罕見。 同時， “內行人” 也正在越來越多的向白帽子群體聚集。 調查 顯示， 絕大多

12、數白帽子具備一定的計算機學科基礎知識， 至 少八成左右的白帽子來自 IT、 計算機、 互聯網和通信等信息 技術相關學科， 并且半數以上的已就業白帽子仍在從事 IT、 互聯網等行業的工作?！翱缃纭?挖洞的現象正在逐步減少。 一、 白帽子的基本情況 2018 中國白帽人才調查報告 95.4 % 4.6 % 男 女 調研顯示，中國 95.4% 的白帽子是男性，男女性別比 例高達 21:1， 女生在白帽子中屬于絕對的稀有品種。 白帽子的性別比例 2018 中國白帽人才調查報告 根據調查結果顯示，白帽子年齡集中在 90 后之中，甚 至更多的集中在 95 后之中，85 后只占群體的 10%， 而 85 前

13、的活躍白帽僅占不到全體總數的 1%。 白帽子的年齡分布 53.9 % 25.9 % 10 % 10 % 0.2 % 00 后 95 后 85 前 85 后 90 后 53.9 % 25.9 % 10 % 10 % 0.2 % 00 后 95 后 85 前 85 后 90 后 2018 中國白帽人才調查報告 目前，中國白帽子的人口分布集中在華東地區（約占 25%） 、 華南地區 （約占 20%） 、 華北地區 （約占 20%） 、 華中地區 （約占 10%） 、 和西南地區 （約占 10%） ， 再向 下追溯更加聚焦于廣東， 北京， 四川， 山東， 上海， 江蘇 等經濟科技相對發達地區。 四川

14、廣東 北京 遼寧 山東 江蘇 上海 浙江 安徽 湖南 山西 河南陜西 香港 澳門臺灣 30 人以上 10-29 人 5-9 人 1-4 人 白帽子的地理分布 2018 中國白帽人才調查報告 0.5% 1.7% 19.0% 2.4% 3.2% 2.0% 31.2% 7.8% 1.7% 1.2% 29.3% 博士學歷 碩士學歷 本科學歷 大學學歷 高中學歷 初中學歷 碩士在讀 大學在讀 高中在讀 初中在讀 其他 調查顯示， 有超過 8 成的白帽子擁有?？苹虮究茖W歷， 但有約 4 成白帽子為在校學生。 其中， 高中或初中在校 生約占 10%。 總體而言，白帽子的學歷水平正在不斷 提高， 碩士、 博士

15、等高學歷人群在白帽子群體中也已經 不再罕見。 白帽子的學歷情況 2018 中國白帽人才調查報告 從白帽子所學專業來看。 有將近 80% 的人學習的專業 與計算機學科相關，如計算機科學與技術、網絡工程、 軟件工程等。 其中，來自信息安全專業的同學最多，占 比為 26.1%。 可以看出，白帽子的專業化程度越來越 高。 外行挖洞， 跨界挖洞的情況已經越來越少。 信息安全 26.1% 18.1% 軟件工程 13.4% 網絡工程 13.9% 電子工程 4.4% 通信工程 2.7% 其他 21.5% 白帽子在校期間所學 的專業分布 計算機科學與技術 2018 中國白帽人才調查報告 晚上十點一定睡覺 身體重

16、要 10.24% 零點前睡覺 絕不失眠 40.98% 凌晨 2 點前睡覺 堅決防禿 34.63% 睡什么睡 決戰到天亮 14.15% 從生活上來看， 白帽子是一群 “愛玩不愛吃的單身夜貓子” 。 養成良好的生活習慣和找到自己的另一半是白帽子人生的 最大課題。 二、 白帽子的生活習慣 作為一名白帽子，挖洞是生活的主旋律；作為一名技 術宅，熬夜晚睡也是一種生活常態。 調查顯示，通常能 在深夜 12 點前上床睡覺的白帽子僅有約 51.2%， 14.1% 的白帽子常常通宵不睡。 或許只有在深夜時候， 白帽子們才能成為 “暗夜的正義使者” 吧。 白帽子的作息時間 2018 中國白帽人才調查報告 白帽子的

17、飲食習慣 對于飲食，白帽子普遍不怎么挑剔：從來不在乎吃什 么的白帽子超過 35%，喜歡清淡飲食和快餐外賣的白 帽子也分別多達 25.4% 和 18.3%。 真正能夠自己下 廚做飯， 保持健康飲食的白帽子， 僅有 20% 多一點。 真正的男人 不在乎吃什么 35.37% 健身餐增肌餐吃起來 8.05% 飲食很清淡 25.37% 快餐外賣點點點 18.29% 自己下廚 相當健康 12.93% 2018 中國白帽人才調查報告 游戲 22.7% 其他 6.3% 看書 18.8% 運動 19.3% 追劇 5.4% 旅行 12.9% 音樂 14.6% 白帽子的興趣愛好 白帽子除了挖洞之外，同樣擁有非常豐富

18、的業余愛好， 他們很喜歡打游戲， 但是也很喜歡運動、 音樂、 旅行和 追劇。 2018 中國白帽人才調查報告 目前單身 59.8% 已育 4.6% 已婚 6.6% 已有女（男）友 29.0% 白帽子的情感狀態 或許是因為挖洞的成就感遠遠超過了異性的吸引力， 白帽子群體堪稱單身狗俱樂部。 接近 60% 的白帽子目 前還是單身狀態；雖然也有近三成的白帽子已經有了 自己的女 （男） 朋友，但真正已婚、已育的白帽子僅有 10% 多一點。 已脫單比例如此之低，這與白帽子群體的年齡結構并 不匹配。 這或許與 IT 技術宅們普遍不善言辭，不善與 人交流有關。 不過好在白帽子們還普遍年輕，追求愛情 還有時間！

19、 剛剛了解了白帽子的生活，我們再來看看他們的工作與事 業吧。 總體來說， 白帽子是一群愛學習， 有追求， 向往大城市 生活的人；他們非常希望能夠依靠自己的技術能力服務社 會， 改善生活。 而第三方漏洞平臺正是白帽子實現自己人生 價值的重要舞臺。 走進白帽子的挖洞事業 白帽子風采展示 “成功不是將來才有的， 而是從決定去做的那一刻起， 持續累積 而成” jkgh006 第二章 jkgh006 2018 中國白帽人才調查報告 10.5 % 15.4 % 20.0 % 54.1 % 無所謂 成長的城市 省會城市 一線城市 一、 白帽子的職業發展 調查顯示，北上廣深等一線城市依然是白帽子們首選 的發展

20、城市。 發達城市能夠給予白帽子更多的就業機 會，更大的發展平臺，以及更加前沿的技術資訊。 不過 仍有 15.4% 的白帽子期望回到自己的家鄉工作。 白帽子期望工作的城市 2018 中國白帽人才調查報告 IT互聯網教育國企政府 事業單位金融其他 32.7% 19.3% 6.1% 4.9% 4.1% 2.4% 30.5% 白帽子的就職情況 從就業行業來看， 有超過一半的白帽子進入了 IT、 互聯 網等行業，這與白帽子人群的學業背景是基本相符的。 不過， 特別值得注意的是， 來自教育、 國企、 政府及事業 單位和金融領域的白帽子也不在少數。 這在某種程度 上也反映出相關領域信息化水平正在快速提高，因

21、此 才吸引了大量白帽子人群的就業。 客觀的說，來自特定 行業領域的白帽子，由于更加熟悉相關行業的業務系 統，因此也更有利于他們快速發現這些行業領域信息 系統中的安全漏洞。 2018 中國白帽人才調查報告 小于 1 年1-3 年4-6 年7-10 年超過 10 年 31.2% 50.0% 14.7% 3.2% 0.9% 白帽子進入安全圈的時間 就網絡安全領域從業經驗來看， 近 80% 的白帽子進入 安全圈的時間為 3 年以下， 其中 31.2% 的白帽子進入 安全圈的時間小于 1 年，50.0% 的白帽子進入安全圈 的時間為 1-3 年；另外， 也有 14.7% 的白帽子進入安 全圈的時間為 4

22、-6 年，進入安全圈工作 6 年以上的活 躍白帽子只占群體總數 4% 左右。 可以說， 入圈 6 年以 上的白帽子， 真的就是名副其實的安全 “老帽” 了。 2018 中國白帽人才調查報告 無固定收入 3000元以下 3001-5000元 5001-8000元 8001-12000元 12001-15000元 15001-20000元 20001-30000元 30001-50000元 50000元以上 15.8 % 5.6 % 11.5 % 16.2 % 23.9 % 12.4 % 6.4 % 4.3 % 2.1 % 1.7 % 白帽子工作收入情況 （月） 從收入方面開來，在已經畢業工作的白

23、帽子中，月收入在 8000-12000 元的占比最多，達到了 20% 以上；其次是月收 入 5000- 8000 元的白帽子，占比為 16.2% 左右。 下圖數據在 一定程度上反映出了白帽子群體的薪資基本水平，白帽子們可 以作為參考， 努力豐富自己， 贏得與自身價值匹配的薪資。 特別的， 在這些已經畢業工作的白帽子中， 仍有約 15.8% 的白 帽子是無固定收入的。 這也在一定程度上反映出了部分白帽子 的生活困境。 此外，因為很多學生群體的白帽子還沒有參加實習或兼職工 作， 也都處在 “無固定收入” 的狀態。 不過也有 20% 左右的學生 白帽子每月能獲得 3 千 -8 千元固定收入， 我們還

24、發現， 有 6% 左右的學生白帽子每月能夠獲得 8000-20000 的可觀收入。 2018 中國白帽人才調查報告 需要 不需要 沒有概念 31.3 % 23.2% 45.5 % 白帽子的就業期望 因為參與本次調研的白帽子有近一半為學生群體，所 以，本文也特別對學生群體白帽子的求職情況進行了 簡單分析。 調查顯示，45.5% 的白帽子沒有清晰的目標崗位，以 及職業規劃，非常需要進行就業指導；31.3% 的學生 白帽子有相對清晰的職位選擇和職業發展規劃，認為 自己不需要就業指導；還有 23.2% 的白帽子對就業 的概念很模糊。 2018 中國白帽人才調查報告 不恐懼 42.6% 暫時不找工作 1

25、5.9% 懼怕找工作 10.2% 不確定 31.3% 學生群體的白帽子對 找工作的態度 從學生群體的白帽子對找工作的態度來看，有 10.2% 的白帽子是懼怕找工作的，31.3% 的白帽子沒有明確 的態度；15.9% 的白帽子暫時不找工作；有 42.6% 的白帽子不恐懼找工作。 2018 中國白帽人才調查報告 有好的機 會會考慮 8.2% 干什么都可以 4.1% 希望干別的 0.6% 學生群體的白帽子畢業后 的工作意愿 當被問及畢業后希望從事哪些方向的工作時，87.1% 的學生白帽子表示希望畢業后能繼續從事網絡安全相 關工作， 這表明， 網絡安全工作對白帽子還是很有吸引 力的，而且大部分白帽子也

26、相信從事網絡安全工作會 有很好的發展前景。 繼續從事 安全工作 87.1 % 2018 中國白帽人才調查報告 學生群體的白帽子渴望 的工作崗位 對于學生白帽子群體來說，最有吸引力的網絡安全工 作崗位是滲透測試工程師，88.6% 的白帽子希望能夠 從事這一崗位，這也是和白帽子挖洞工作性質最為接 近的崗位。 排名第二和第三的崗位分別是測試工程師 和安全運維工程師。 滲透測試工程師 測試工程師 安全運維工程師 安全架構工程師 開發工程師 前端工程師 沒有明確目標 不做技術類工程 88.6 % 27.3 % 25.0 % 18.2 % 15.9 % 10.8 % 6.3 % 1.7 % 2018 中國

27、白帽人才調查報告 二、 白帽子的挖洞技能 從白帽子關注的行業來看：互聯網行業排名第一，關 注度為 66.3%；其次是教育行業， 關注度為 54.1%； 排名第三的是政府機構和事業單位，關注度為 49.3%。 白帽子關注的行業 挖什么樣的洞， 為什么樣的系統挖洞， 不同的白帽子會有不 同的選擇。 下面， 我們就來看看白帽子們是如何做出自己的 選擇的。 互聯網教育 政府機構 事業單位 金融醫療國企電信媒體交通能源央企其他 66.3% 54.1 % 49.3% 33.2% 28.3% 26.6% 24.4% 24.4 % 22.9% 19.8% 18.5% 3.2% 2018 中國白帽人才調查報告

28、喜歡的企業 使用過其產品的企業 知名企業 其他 不喜歡的企業 12.4 % 13.2 % 47.3 % 49.5 % 54.6 % “愛挑你的毛病， 很可能是因為她愛你” 。 這句話似乎也 非常適合于白帽子群體。 調查顯示，超過半數的白帽子會更傾向于選擇給自己 喜歡的企業挖洞， 而選擇給知名企業， 或使用過其產品 的企業挖洞的白帽子也都接近半數。 專門選擇給自己 不喜歡的企業挖洞的白帽子僅占白帽子群體的 12.4%。 白帽子選擇的挖洞對象， 很大程度上是因為他 們喜歡這些企業或尊敬這些企業。 一個企業， 越是受到 白帽子的關注， 被白帽子報告的漏洞數量越多， 就越是 說明這個企業或這個企業的產

29、品深受白帽子們的歡 迎。 目標企業與目標用戶 2018 中國白帽人才調查報告 Web 操作系統 Android移動應用程序 API 物聯網產品 計算機硬件 IOS移動應用程序 固件 其他 95.9% 14.4% 13.4% 9.3% 6.3% 5.6% 3.7% 2.7% 3.9% 在各種類型的安全漏洞中，白帽子們普遍擅長挖掘的 漏洞還是傳統的 Web 漏洞，擅長比例高達 95.9%； 其次是操作系統漏洞和 Android 移動應用程序漏洞， 不過擅長此類漏洞的白帽子比例一下子下跌到 13%-14%。 其他幾類應用環境下的安全漏洞，擅長的 白帽子比例均低于 10%。 可見， 當下白帽子們的 “

30、偏科” 現象比較嚴重， 對于移動 互聯網、 物聯網等領域的漏洞挖掘能力仍然普遍不足。 而實際上， 企業對移動互聯網、 物聯網等領域安全漏洞 的關注正在持續上升，在這些應用領域有特長的白帽 子可能會得到更好的發展空間。 白帽子擅長挖掘的漏洞類型 2018 中國白帽人才調查報告 在各類 Web 安全漏洞中，白帽子們最擅長挖掘的是 SQL 注入漏洞，擅長比例高達 71.7%；其次為 XSS 漏洞，擅長比例為 63.7%；邏輯漏洞排第三，擅長比 例為 52.9%。 在最受關注的 Web 漏洞中白 帽子最擅長挖掘的漏洞類型 SQL 注入漏洞 xss 邏輯 漏洞 信息 泄露 權限 繞行 命令 執行 任意文

31、 件操作 代碼 執行 文件 包含 存在 后門 其他 71.7% 63.7% 52.9% 49.8% 40.5% 35.6% 28.3% 28.0% 25.6% 23.3% 63.7% 2018 中國白帽人才調查報告 白帽子的漏洞提交量 白帽子常?；钴S在國內各大知名的漏洞平臺以及各家 企業的 SRC。 在接受調研的白帽子中，有超過半數的 白帽子為這些平臺或 SRC 提交過 10 個以上的漏洞， 值得一提的是，有 8.0% 的白帽子提交過超過 500 個 漏洞。 堪稱 “洞霸” ！ 0-10個 44.9% 10-30個 17.6% 31-80個 11.5% 81-150個 5.4% 151-300

32、個 9.3% 301-500個 3.4% 500個以上 8.0% 2018 中國白帽人才調查報告 白帽子偏愛的獎勵機制 對于自己的挖洞成果，85.9% 的白帽子還是很期望獲 得現金獎勵；同樣有 50.5% 比較重視榮譽。 下圖給出 了白帽子們偏愛的獎勵機制分布。 客觀的說，希望通過 自己的挖洞特長獲取收入并改善生活，是白帽子們的 基本需求。 而第三方漏洞平臺為白帽子建立的獎勵機 制和廠商提供的獎金，都非常有助于吸引和鼓勵白帽 子們提交更多的漏洞。 現金獎金類 榮譽認證類 學習資源類 實物獎品類 ID的影響提升 其他 1.0% 50.5% 85.9% 37.1% 25.4% 2018 中國白帽人

33、才調查報告 補天平臺數據顯示，雖然每年白帽子幫助企業 發現漏洞的數量令人欣慰，但這些漏洞被評定 為 “高?！?的個數并沒有讓我們感到樂觀，大部 分白帽子還苦于找不到有效提升技術能力的 方法，耗費了大量的時間徘徊在基礎難度漏洞 挖掘的沼澤。 所以，自我能力的提升對于絕大 多數白帽子來說， 還是非常有必要的 “修行” 。 三、 白帽子的自我提升 2018 中國白帽人才調查報告 上 網 自 學 拜 師 學 習 參 加 培 訓 課 堂 學 習 公 司 培 養 其 他 白帽子學習攻防知識的渠道 大部分白帽子的專業技術知識源自網絡資料，他們或 是泡在一些技術學習社區， 或是找到一些視頻課程， 但 大部分都

34、是自學。 調查顯示，85.3% 的白帽子會通過 上網自學實戰型攻防知識。 當然也有一些幸運的白帽 子會遇到一些前輩的悉心指導， 但數量不多， 占比僅為 36.8%。 而真正能夠通過學校課堂學習獲取實戰型攻 防知識的白帽子， 占比僅為 16.8%。 總體而言，中國當前的教育體系尚不足以實現白帽子 攻防人才的批量化培養，網上自學和拜師學藝仍是最 主要的白帽人才產出方式。 89.3%36.8% 24.6% 16.8% 11.5% 5.6% 2018 中國白帽人才調查報告 白帽子意愿在提升技 術上投入的成本 在自學的道路上，約三分之一 （36.6%） 的白帽子愿意 為了自己的技術能力提升投入 5000

35、 元以上的成本。 雖然有些白帽子還沒有固定的收入，但他們仍愿意對 自己進行高額投入，這很好的體現了他們追求技術的 熱情和決心。 不過，總體而言，缺乏社會投入和自我投 入不足仍然是制約白帽子能力提升的重要難題。 500元以下501-10001001-2000 2001-50005000元以上不會投 入金錢 13.2% 18.5% 14.1% 12.4% 36.6% 5.1% 2018 中國白帽人才調查報告 知識的擴充渠道 從白帽子擴充自己攻防技術知識的渠道來看，當下最 受白帽子歡迎的平臺是 Freebuf，69.3% 的白帽子的 選擇在這里學習；排名的第二是 i 春秋，被 66.6% 的 白帽子

36、選中；還有 55.1% 的白帽子通過相關博客來 提升自我。 下圖給出了白帽子自學平臺的選擇情況。 Freebuf i春秋 相關博客 安全客 技術公眾號 69.3 % 66.6 % 55.1 % 54.9 % 54.1 % 補天眾學 紅盟社區 線下培訓機構 其他 35.6 % 16.1% 12.9% 11.7% 2018 中國白帽人才調查報告 漏洞案例分析 技術干貨分享 網絡安全實時資訊 安全賽事信息 活動福利 86.3 % 81.5 % 67.3 % 41.2 % 38.3 % 招聘信息 會議信息 奇聞趣事 其他 34.9 % 22.9% 19.0% 1.5% 白帽子希望通過平臺 獲得的知識類

37、型 從白帽子希望通過平臺落得知識類型的來看，86.8% 的白帽子希望獲得漏洞案例分析；81.5% 的白帽子 希望獲得技術干貨；67.3% 的白帽子獲得網絡安全 實時資訊。 2018 中國白帽人才調查報告 挖漏洞的獎金及使用 通過挖洞，白帽子到底能夠獲得多少收入呢？調查顯示， 超過 60.7% 的白帽子通過提交漏洞每月獲得的獎勵在 300 元以下， 20% 的白帽子可通過提交漏洞獲得 1000 元以上的獎勵。 其中， 僅僅有不到 10% 的白帽子可以每月 獲得 3000 元以上的獎勵，而這些白帽子大多參與了“眾 測” 項目。 很多白帽子反映漏洞越來越難挖，這與國內網絡 安全建設愈發受到重視有很大

38、的關系， “高價值” 的漏洞對 技術的要求越來越高，這也是對白帽子群體的技術水平發 起的挑戰。 總體而言，真正能靠挖洞來養家糊口的白帽子，目前來說 還只是極少數，但高水平白帽子通過挖洞月入數萬也已經 不是什么新聞了。 白帽子群體的能力差距仍然十分懸殊。 300元以下 301-500元 501-1000元 1001-3000元 3001-7000元 7001-15000元 15001-30000元 30001-50000元 50000元以上 60.7% 8.0% 10.5% 11.2% 5.9% 1.5% 0.7% 0.5% 1.0% 2018 中國白帽人才調查報告 第三方漏洞平臺 企業SRC

39、CNVD 其他 11.2% 87.3% 25.6% 29.8% 活躍的漏洞平臺 目前， 在國內， 白帽子提交漏洞的主要渠道有三類：第 三方漏洞平臺、國家漏洞庫 CNVD 和企業自建的 SRC。 調查顯示， 白帽子最為活躍的平臺是第三方漏洞 平臺，87.3% 的白帽子會選擇第三方漏洞平臺；其次 是企業 SRC，而選擇直接向 CNVD 報告漏洞白帽子 數量最少。 造成這種情況可能的原因之一，是第三方漏 洞平臺和企業 SRC 能夠向白帽子提供更多獎金并能 和白帽子們保持良好的互動。 “我不是世俗意義的好孩子，但幸運的是我找到了熱愛的事情， 在成為一名白帽子的道路上得到了大家的認可，要感謝的人有 很多

40、， 但最感謝那個愿意為夢想拼搏的自己。 ” 白帽子風采展示 帶頭老哥 帶頭老哥 如果問 10 個白帽子，未來的職業理想或職業發展規劃是什 么，有 6 個會回答你他們更想成為技術領域的資深專家，大 約 3 個會告訴你他們想向管理方向發展， 只有 1 個不想被職 場束縛希望成為自由職業者，白帽子們果然是對技術高度充 滿理想的追夢少年。 了解白帽子的自我期待 第三章 2018 中國白帽人才調查報告 技術科研專家 31.5% 資深工程師 27.8% 對大部分白帽子來講，未來能夠成為技術領域的專家 （31.5%） 或資深工程師 （27.8%） 是非常值得期待的 事情，有約四分之一的白帽子更傾向于向管理崗

41、位是 發展。 白帽子期待的發展方向 自由職業 10.5% 無具體 規劃 3.2% 其他 1.2% 管理層 25.9% 2018 中國白帽人才調查報告 7000-10000 元 10001-15000 元 15001-20000 元 20001-30000 元 30000 元以上 沒概念 5.9% 12.9% 21.0% 23.9% 32.9% 3.4% 未來 3-5 年內， 白帽子 期待的薪資范圍 從未來 3-5 年內，白帽子期望的薪資范圍的來看， 32.9% 的白帽子希望獲得 3 萬元以上。 2018 中國白帽人才調查報告 雖然幫助企業發現漏洞是自發行為， 但 73.4% 白帽子 們仍然希望

42、能夠得到企業的獎勵認可， 另外 26.6% 的 白帽子為企業提交漏洞只是自己的興趣和責任，并不 期待獎勵認可。 白帽子對漏洞酬金的看法 自愿挖洞 無需酬勞 73.4% 26.6% 挖洞很辛苦 應該有酬勞 中國白帽人才調查報告2018 中國白帽人才調查報告 維護互聯網用戶 個人信息安全 為國家網絡安全 建設做貢獻 為企業減少 安全隱患 在白帽子眼中， 自己挖洞所體現的社會價值， 不單單為 企業減少了安全隱患，同樣維護了互聯網用戶個人信 息的安全， 為國家的網絡安全建設貢獻了自己的力量。 白帽子對自我價值的認知 89.0% 85.6% 84.1% 作為一種特殊的“職業” ，白帽子的工作往往不被理解

43、。 其 實， 白帽子也同樣期待得到社會的認同， 這種認同來自企業 和家庭兩個方面：得不到政企機構的認可，自己的努力就 沒有了意義；而得不到家庭的認可，自己的努力就不會帶 來幸福。 那么， 在企業和家人的眼中， 白帽子的工作到底是個什么樣 子呢？調查顯示， 企業遠比家人更懂白帽子！ 感受白帽子的社會認同 白帽子風采展示 “入行 5 年， 認識了很多人， 經歷了很多事， 當初那個腳本男孩不 見了， 剩下滿臉胡渣的老男人。 我喜歡尋找問題， 抱著一顆謹小慎 微的心去發掘可見的一切， 這是我的工作， 也是我生命的一部分。 ” 咕咕急 咕咕急 第四章 2018 中國白帽人才調查報告 各有不同 互為補充

44、相差不大 可以互替 說不清楚 曾經，有些人會誤以為白帽子的挖洞工作完全可以由 漏掃工具或機器代替。 調研顯示，時至今日，持這種想 法的企業安全管理人員占比仍然高達 27.5%。 盡管 66.7% 的人能夠正確認識人工挖洞的不可替代性，但 這一調查結果仍然令人十分堪憂。 企業對白帽子的看法 66.7% 27.5% 5.7% 2018 中國白帽人才調查報告 3000-10000 10000200-1000 1000-3000 那么， 在企業眼中， 白帽子提交的高危安全漏洞到底值 多少錢呢？調查顯示，愿意為高危漏洞向白帽子支付 1000-3000 元酬金的企業最多， 占比為 29.1%；其次 是 3

45、000-10000 元酬金，占比為 25.2%；特別的，有 22.0% 的企業愿意為單個高危漏洞向白帽子支付 10000 元以上的酬金。 這一調查結果顯示：企業對白 帽子提交的高危安漏洞的價值認可度還是比較高的。 企業愿意為高危漏洞向 白帽子支付的酬金額度 22.0% 23.6% 29.1%25.2% 2018 中國白帽人才調查報告 那么，白帽子的工作是否能夠得到家人的理解呢？ 調查顯示，近一半白帽子的家人并不是很清楚他們在 做的事情，也不了解白帽子們所做事情的社會價值； 16% 以上白帽子的家人對白帽子的工作表示不太理解 或非常不理解；而真正表示非常理解的白帽子的家人， 占比僅為 13.4%

46、。事實上，在絕大多數年輕白帽子的 家人眼中，白帽子仍然是每天守著電腦不好好學習的 “網癮少年” 。 可以看出，白帽子的工作，要得到整個社會的認可， 還有很長的路要走。 家人對白帽子的看法 沒概念或 不做評論 有一點理解非常理解不太理解非常不理解 42.2% 29.3% 13.4% 9.3% 5.9% 中國白帽人才調查報告 結 尾 感謝您能夠閱讀到這一頁。 本次2018 白帽子人才調研報告歷時倆個月， 經過問卷籌備、發放、回收、分析、撰寫、設計 等 6 個環節， 最終得以誕生， 并呈現在您的面前。 我們非常榮幸能夠成為同行業唯一一家聚焦白帽 子群體生態的機構。 補天漏洞響應平臺與白帽子們已經攜手

47、相伴了將 近 6 個年頭。協助維持白帽子群體的良性發展 是我們應盡的責任與義務，而我們也一直在為之 努力。 希望這份2018 白帽子人才調研報告能夠為 白帽子們關心的問題給出指導性的建議，同時能 使社會各界人士正確認知白帽子群體，并認可他 們所做的事業為社會帶來的價值和意義。 中國白帽人才調查報告 補天漏洞響應平臺，成立于 2013 年 3 月，是專 注漏洞響應的第三方公益平臺。平臺通過充分引 導和培養白帽子力量，實現實時、高效的網絡安 全漏洞的挖掘與響應，積極守護、推動網絡安全 行業的發展。 截至 2018 年 12 月，補天漏洞響應平臺注冊白帽 子已達 50000 余名，發現漏洞數超過 30 萬個。 被公安部、CNCERT（CNVD） 、中國信息安全 測評中心（CNNVD）分別評定為技術支持先進 單位、漏洞信息報送突出貢獻單位和一級技術支 撐單位。 附 錄 補天漏洞響應平臺