白帽人才调研报告已出炉 学生群体成白帽人才的首要来源

9月17日，由补天漏洞响应平台和奇安信集团联合主办的“2021补天白帽大会”在京举行。会议期间，补天漏洞响应平台联合奇安信行业安全研究中心发布《2021中国白帽人才能力与发展状况调研报告》(下称“报告”)。

报告显示，00后已成为国内白帽人才的主力军，占比高达38.4%。其次是95后，占比为34.6%。另外，已有少量的10后加入了白帽子的队伍，占比约为0.3%。

白帽子挖漏洞行为正当化、合法化

9月1日，由工业和信息化部、国家互联网信息办公室、公安部联合发布的《网络产品安全漏洞管理规定》(下称“漏洞管理规定”)正式施行。

漏洞管理规定鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞，鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制，对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。

“过去挖漏洞行为没有明确的指引，白帽子百无禁忌，免不了因挖漏洞方法不恰当而触犯法律，这样不利于民间白帽的成长。”在奇安信集团董事长齐向东看来，漏洞管理规定将白帽子的行为正当化、合法化，给他们提供了安全感。

他强调，规定明确鼓励民间力量进行漏洞挖掘工作，给漏洞的发现、收集、发布等行为划定了红线，对于该做什么、不该做什么都做了清晰的规定。“白帽子守住了这些红线，就能在合法合规的条件下发挥出最大的价值。”

他还表示，漏洞管理规定鼓励厂家针对白帽子设立漏洞奖励机制，一些不具备漏洞挖掘能力的厂家，可以委托白帽子来帮助自己挖漏洞;白帽子通过一技之长获得相应回报，从而形成良性循环，推动安全产业不断壮大。

据了解，去年10月人社部发布9个新职业信息，其中包括信息安全测试员¬——通过对评测目标的网络和系统进行渗透测试，发现安全问题并提出改进建议，使网络和系统免受恶意攻击的人员。

补天漏洞响应平台负责人张卓表示，国家越来越重视白帽子，想为他们设计完整的职业链条。当白帽子变成一个标准职业的时候，整个生态会慢慢建立起来，“雪球会越滚越大”。

00后已成为国内白帽人才的主力军

随着网络安全工作的持续深入发展，白帽子已成为各项网络安全工作中不可或缺的关键要素。为加深对白帽人才的了解，补天漏洞平台联合奇安信行业安全研究中心，邀请991位活跃的白帽子展开调研，形成报告。报告从白帽人才能力现状、生活和工作情况、社会认同及社交生活等方面进行了分析。

挖漏洞能力是白帽子的核心能力。报告显示，约有38.8%的白帽人才每年人均提交有效安全漏洞数量超过10个，约4.7%的白帽人才每年人均提交有效漏洞数量超过300个。

通过挖漏洞或参加实战攻防演习获取奖金收入，是白帽人才获取收入的重要方式之一。报告显示，近四成的白帽子年均奖金收入在3000元以下，约六成在1万元以下。年均奖金超过10万元的白帽子约占17.0%，约0.4%的白帽子年奖金收入超过100万元。

从性别比例来看，报告显示，在当前国内白帽人才中，“重男轻女”现象仍然十分严重，男性占比高达95.4%，女性仅占4.6%。

此外，00后已成为国内白帽人才的主力军，占比高达38.4%。其次是95后，占比为34.6%。另外，已有少量的10后加入了白帽子的队伍，占比约为0.3%。

报告还显示，仅有约26.4%的白帽子来自专业的网络安全企业。相比之下，学生群体则是白帽人才的首要来源，占比高达36.7%。报告分析，相对于职场人，绝大多数学生拥有相对自由的时间来从事漏洞挖掘工作。

关键词： 补天漏洞 响应平台 白帽人才