年挖洞超過300個，獎金收入過百萬，2021白帽人才

VSole2021-09-17 19:00:05

9月17日，由補天漏洞響應平臺和奇安信集團聯合主辦的2021補天白帽大會在京召開。會議期間，補天漏洞響應平臺聯合奇安信行業安全研究中心，正式發布了《2021中國白帽人才能力與發展狀況調研報告》，從專業技能、日常生活、社會交往、職業規劃等多個維度，全面揭示了我國白帽人才的現狀。

報告顯示，在國內良好的政策環境和產業環境推動之下，我國白帽人才，總體能力建設持續提升，在很大程度上推動了我國網絡安全產業的健康發展。

每20名白帽就有1人年挖洞數量超過300個?

挖洞能力是白帽子的核心能力。調研顯示，國內很多白帽子都曾向多個平臺多次提交過安全漏洞。其中，約有38.8%的白帽人才，每年人均提交有效安全漏洞數量超過10個，更有約4.7%的白帽人才每年人均提交有效漏洞數量超過300個，堪稱漏洞界的“超級挖掘機”，大約每20名白帽子中便有1人。

通過挖洞或參加實戰攻防演習獲取獎金收入，是白帽人才獲取收入的重要方式。調研顯示，我國近四成的白帽子年均獎金收入在3000元以下，約六成在1萬元以下。而年均獎金超過10萬元的白帽子約占17.0%，約0.4%的白帽子年獎金收入超過100萬元。

按照補天平臺目前累計注冊白帽人才7.9萬人估算，國內目前可能已經誕生了超過300位年獎金收入超過100萬元的“白帽大亨”。

特別值得一提的是，已經有越來越多的大型企業愿意為高價值漏洞提供高額獎金。2021年，就有企業SRC通過補天平臺向白帽子支付了高達13萬元的單個漏洞獎金。

10后已嶄露頭角，絕大部分白帽入行因個人愛好

數據顯示，目前我國白帽子大部分為95年以后生人，其中00后已經成為國內白帽人才的主力軍，占比高達38.4%，在各個年齡段中排名第一。其次是95后，占比為34.6%。調研同時顯示，已經有少量的10后年輕人加入了白帽子的隊伍，占比約為0.3%，雖然人數不多，但也能明顯看出，越來越年輕的白帽子加入到了維護網絡安全正義的隊伍中來。

雖然00后白帽人才已經崛起，但絕大多數白帽子還是在成年以后才入的行。調研顯示，18歲之前就已開啟自己白帽生涯的年輕人只占當前國內白帽人才總數的16.1%。絕大多數人還是在18歲~22歲間，也就是在讀大學期間入行做的白帽子，占比約為52.4%。

此外，也有約2.2%的人是在35歲以后才開始學習挖洞做的白帽子。這部分人大多是多年從事網絡安全工作或企業信息化建設的專業工程師，他們雖然精力和體力遠不及20歲上下的年輕人，但豐富的實戰經驗，以及對企業業務和信息化系統的熟悉，使得他們往往比年輕人更擅長挖掘與企業業務或信息化架構相關的安全漏洞。

是什么原因驅使白帽子從事挖洞、攻防等網絡安全工作的呢？64.2%的受訪者表示，“個人愛好”是他們從事白帽工作的首要原因。此外，抱有“安全的理想”、“增加個人收入”、“本職工作要求”等因素，也是影響白帽人才入行的重要驅動力。還有約1.2%的人是因為“受名人感召”而入行。

超過三分之一的白帽子是學生

與想象中不同的是，白帽子并不都是專業的網絡安全工作者，而是來自各行各業。調研顯示，僅有約26.4%的白帽子來自專業的網絡安全企業。相比之下，學生群體則是白帽人才的首要來源，占比高達36.7%，這主要是由于相對于職場人而言，絕大多數學生擁有相對自由的時間，來從事漏洞挖掘工作。

此外不容忽視的是，約有5.8%的白帽人才為自由職業者，也可以說是“職業白帽”，獎金收入是這些白帽子的重要經濟來源。按照補天平臺目前累計注冊白帽人才7.9萬人計算，國內以獎金為主要收入的“職業白帽”群體規模已經超過4500人。隨著漏洞價值的持續提升，實戰攻防演習日益受到更高重視，白帽子的獎金收入也會“水漲船高”，預計未來幾年，這一群體的規模仍有望持續、快速增長。

那么這些白帽子究竟來源于什么崗位呢？調研顯示，在只考慮在政企單位就職的白帽子的情況下，有約53.2%的白帽子日常工作崗位是滲透測試工程師，占比最多；14.0%白帽子為安全運維工程師，排名第二；還有4.7%的白帽子為測試工程師，具體分布如下圖所示。

多數人認為白帽子很酷，但白帽子認同度仍有待進一步提升

絕大多數白帽人才對自己的白帽子身份和白帽工作非常認同，近8成的白帽子認為白帽工作非常酷或有點兒酷。甚至有13.2%的受訪者認為，白帽子作為一個很酷的職業，非常有助于吸引異性，甚至會得到異性的“崇拜”。

當然，并非所有的白帽子都持有類似的觀點。約10.2%的白帽子認為，白帽子也只不過一份普通工作而已，沒什么特別的。5.8%的白帽子認為，這是一項非常辛苦的工作。

另外值得關注的是，約有3.0%的白帽子覺得自己的白帽工作并不怎么光彩，甚至不好意思跟別人說。雖然有這種認知的白帽人才占比不高，但這也在一定程度上表明，對于白帽工作的社會歧視仍然存在。

從另一個角度來看，約有2.3%的白帽子，其家人或親友對其白帽工作持“不支持”或強烈反對態度，甚至還有約1.0%的受訪者表示，其家人和親友總是勸其改行。這也再次說明，仍有一小部分社會群體，對白帽工作和白帽人才存在誤解和偏見。

網絡安全漏洞

撤稿糾錯

本作品采用《CC 協議》，轉載必須注明作者和本文鏈接

網絡安全漏洞管理的探索與實踐

2022-07-27 16:02:48

明確各級網絡安全責任人。充分利用云原生技術，推進以微服務模式提供各類安全能力組件接口，推進數字電網安全“中樞”所有專業功能組件分層解耦和接口標準化，建立開放生態，支持后續功能疊加演進。增強產品服務供應鏈入網安全。提升已入網產品、服務供應鏈應急能力。實戰化錘煉網絡安全隊伍，加強應急指揮與處置能力。

俄羅斯網絡安全漏洞管理體系探析

2022-03-10 11:47:31

網絡安全漏洞(以下簡稱“漏洞”)作為信息通信網絡中在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，隨著經濟社會信息化、網絡化、數字化和智能化程度的加深，對國家網絡安全的影響也日益加劇。世界各主要國家和組織為了切實提升國家網絡安全防護能力，圍繞漏洞的研究、收集和利用，紛紛建立國家級漏洞通報平臺或漏洞數據庫。日本于2003年開始建設“日本漏洞通報”(JVN)平臺；美國于 2005 年開始建設“

網絡安全漏洞治理的范式轉型

2021-08-30 14:02:06

利用網絡安全漏洞實施攻擊的安全事件頻發，使網絡安全漏洞治理成為保障國家網絡安全的重要議程。當前，囿于在漏洞評級指標、漏洞披露政策以及“白帽子”法律責任層面缺乏整體性考量，我國網絡安全漏洞治理框架亟待面向“合作主義”轉型。為此，需通過行政與司法的合作明晰“白帽子”法律責任的邊界，通過行政部門之間的合作搭建網絡安全漏洞協同機制，通過行政與公眾的合作拓寬社會公眾參與漏洞治理的渠道，協力共筑網絡安全漏洞治

網絡安全漏洞披露規則及其體系設計

2018-03-05 21:52:45

網絡安全漏洞披露已成為網絡安全風險控制的中心環節。不規范或非法的網絡安全漏洞披露危害網絡空間整體安全，凸顯法律規定的灰色地帶。實踐中網絡安全漏洞披露表現為不披露、完全披露、負責任披露和協同披露等類型。美國從法律和政策層面分別構建網絡安全漏洞披露規則，并根據形勢不斷進行調整，規則設計呈現從負責任披露到協同披露的變化趨勢，國家層面統一的網絡安全漏洞披露協調和決策機制也在進一步完善中。我國現行立法從產品

網絡安全產品漏洞排行榜

2020-10-29 14:18:34

本文是在CNVD數據基礎上，針對網絡安全產品安全漏洞分布的統計分析，不包含非安全類信息系統，以上請讀者悉知。數說安全根據CNVD公開數據整理下面是2010年至今，CNVD披露的漏洞信息中，最受關注的20個高危漏洞，其中國外產品占據8個，國內產品占據12個。數說安全根據CNVD公開數據整理來源：數說安全

開展網絡安全漏洞掃描的10個關鍵步驟

2023-07-24 14:29:20

對企業而言，資產清單必須經常更新，并作為活躍文檔加以維護。根據漏洞的嚴重程度、影響范圍和可能性，對漏洞進行分類和排序。漏洞修復計劃應該包括漏洞修復的時間表、責任人和所需資源。報告既需要包括已修復的漏洞信息，包括檢測到的漏洞、嚴重程度、完成的補救工作以及確認成功解決等；還應該顯示未解決的漏洞，以及未解決的具體原因和下一步計劃。因此，企業要創建定期漏洞掃描計劃，以便持續監控和快速修復漏洞。

CISA 發布政府網絡安全事件和漏洞響應手冊

2021-11-17 14:30:11

網絡安全基礎設施和安全局周二為聯邦民事機構推出了兩本手冊，用于規劃和實施網絡安全漏洞和事件響應。

深度解析DARPA網絡安全漏洞發現計劃HARDEN

2023-05-09 15:43:50

具體來說，HARDEN將通過破壞攻擊者使用的持久的漏洞可利用模式，并剝奪攻擊者的“緊急執行引擎”，來防止其對集成系統的利用。HARDEN分析和工具將破壞UEFI架構所有抽象層上EE行為的可組合性，以防御最新的威脅并預測未來的威脅。SOSA是由空軍生命周期管理中心提出的，具有廣泛的行業參與其中。SOSA關注的重點領域是對傳感器系統的啟動過程進行建模和驗證，以確保系統在傳感器投入運行之前的完整性。

美國網絡安全和基礎設施安全局（CISA）網絡安全漏洞治理政策分析

2022-07-20 17:11:44

當今世界正處于百年未有之大變局，國際形勢風云變幻，推動全球治理體系深刻變革，網絡空間治理作為全球治理的全新命題和重要領域，關系著全人類的命運。

VSole

網絡安全專家