漏洞数量上升、平均收入下降……2022年白帽人才发生了这些变化

11月3日，2022补天白帽大会在上海正式召开。大会期间，补天漏洞响应平台联合奇安信安服团队、奇安信行业安全研究中心，发布了《中国实战化白帽人才能力白皮书》）（简称《白皮书》）、《中国白帽人才能力与发展状况调研报告》（简称《报告》），详细展示了过去一年中国白帽人才的发展状况。

漏洞提交数量大幅提升

女性白帽开始崛起

《报告》显示，在受邀参与调研的581名活跃的白帽子中，2022年人均向各大平台提交各类安全漏洞69个，较2021年人均47个增长了46.8%，白帽子的漏洞挖掘能力普遍提升。其中，约有58.3%的白帽人才，每年人均提交有效安全漏洞数量超过10个，更有约6.6%的白帽人才每年人均提交有效漏洞数量超过300个，堪称漏洞界的“超级挖掘机”。

与之形成鲜明对比的是，白帽人才的挖洞收入却不升反降。调研数据显示，2002年国内白帽子人均可通过挖洞或参与演习获取奖金收入约31573元，较2021年的57679元下降了约45.3%。《报告》认为，造成平均收入下降的主要原因包括高价值漏洞越来越难挖、新手白帽子不断涌入、职业挖洞高手的流失以及各大SRC预算削减等多个方面。

值得注意的是，在不断涌入的新鲜血液中，女性白帽人才已经成为了一股不可忽视的力量。调研显示，2022年，在所有白帽人才中，男性占比88.2%，女性占比11.8,%，男女比例约为7.5比1。尽管女性仍是“少数派”，但占比已较2021年的4.6%增长了7.2个百分点。

兴趣是最好的老师

白帽人才进一步年轻化

从年龄段分布来看，90后、00后仍然是白帽人才的主力群体，占比分别为50.3%和43.4%。相比于2021年，90后占比有所下降，00后占比有所增加。实际上，总体来看，80后、90后的白帽人数占比都较2021年有所下降，而00后、10后占比都有所增长。

00后群体的增长使得白帽人才的年轻化程度进一步提升。《报告》显示，2022年国内活跃白帽人才的平均入行年龄约为21.6岁，较2021年的21.9岁下降了0.3岁。其中，绝大多数人还是在18岁~22岁间，也就是在读大学期间入行做的白帽子，占比约为55.9%；18岁以下入行的白帽子约占16.2%；23~27岁，也就是大学毕业后4年内入行的白帽子，约占20.7%。

从行业分布来看，学生群体是白帽人才最大的组成部分，占比高达37.7%，其次是安全企业员工，占比约为26.5%。以往不太显著的互联网行业，一跃成为2022年白帽人才产出的第三大来源，占比约为16.4%。另有3.8%的白帽子是职业挖洞人，较2021年的5.8%下降了2个百分点。

在被问及入行原因时，绝大部分受访白帽子选择了兴趣爱好。《报告》显示，64.9%的白帽子是因为爱好而选择从事白帽工作。

特别值得注意的是，在2021年的调研中，19.8%的白帽子选择了“安全的理想”，仅7.0%的白帽子选择了“增加个人收入”。而在2022年的调研中，选择“安全的理想”的白帽子锐减到12.4%，而选择“增加个人收入”的白帽子大幅增加到12.6%。“增加个人收入”也一跃超过“安全的理想”，成为白帽子选择入行的第二大原因。

白帽人才平均水平大幅提升

高阶人才依然稀缺

上文提到，作为白帽人才的最核心成果，人均漏洞提交的数量有了显著的提升。这在一定程度上意味着我国白帽人才质量有了显著的提升，这一点在《白皮书》的观点中也得到了验证。

据介绍，在2021年发布的“实战化白帽人才能力图谱”基础上，《白皮书》对进行了扩展，将白帽子的实战化能力分为3个级别、14个大类、87项具体能力。3个级别分别为基础能力、进阶能力和高阶能力，其学习和掌握难度依次提升。调研数据显示，87项具体能力的平均掌握率已经从2020年末的38.8%，提升至2022年7月的45.4%，提升了6.6个百分点。

其中，基础能力中2大类20项具体能力的平均掌握率从67.0%提升至74.2%，提升了7.2个百分点；进阶能力4大类23项具体能力的平均掌握率从40.3%提升至55.0%，提升了14.7个百分点，是三个级别的能力中增长幅度最大的；而高阶能力的平均掌握率则基本上没有明显的变化，8大类44项具体能力的平均掌握率从28.3%小幅下降至27.3%，微降1.0个百分点。

具体而言，在基础能力方面，Web漏洞利用能力的平均掌握率从57.0%，大幅增长到74.5%；而基础安全工具的平均掌握率则变化不大，从74.5%微降至73.6%。目前，两大类实战化基础能力的平均掌握率已经十分接近，人才储备均相对充实。

在进阶能力方面，Web漏洞挖掘和社工钓鱼这两类技能的人才的储备量和增长速度都相对较多。其中，Web漏洞挖掘能力的平均掌握率提升幅度最大，从39.9%大幅提升至64.8%，一跃成为平均掌握率最高的进阶能力类别。社工钓鱼能力的平均掌握率从48.8%提升至58.5%。而掌握Web开发与编写能力的白帽人才仍然是相对稀缺的，平均掌握率在四类进阶能力中最低，仅为31.1%。

在高阶能力方面，掌握各类能力的人才分布情况近两年来变化不大。尽管各项内网渗透能力的平均掌握率，从2020年末的59.7%下降到2022年7月的48.5%，但仍然是白帽人才平均掌握率最高的实战化高阶能力类别。其次是身份隐藏能力，5项技能的平均掌握率已达47.2%。在高阶能力中，系统漏洞利用与防护、编写PoC或EXP作为支撑政企机构漏洞防护的最重要的两项能力，其平均掌握率最低，分别仅为12.1%和11.9%。也就是说，平均大约每8个白帽子，才有1名白帽子掌握这两类实战化能力。

可以看到的是，尽管白帽子的平均水平有了明显的提升，但在高阶能力掌握方面依然存在明显的缺失，依然需要借助各方合作培养白帽人才。

注：能力下方黄色条越长代表掌握率越高

在支撑白帽人才培养方面，补天平台通过提供真实的训练环境，开放实战工具箱和资源，定制专属课程、顶级黑客进行技术教学，依托长期积累，利用独有的技术人才优势，助力培养出具有顶级技术的网络安全实战型人才，为行业提供强有力的人才保障，提升支撑安全业务的各项能力，应对新形势下的网络安全挑战。

值得注意的是，在北京冬奥会网络安全保障期间，由白帽人才队伍组成、经过层层选拔的“冬奥网络安全卫士”24小时在线，发起超过2000万次测试请求，测试总时长超过1万小时，成功发现了大量有效系统漏洞和冬奥相关威胁情报。

报告原文请查看：

• 《中国实战化白帽人才能力白皮书》

https://www.qianxin.com/threat/reportdetail?report_id=165

• 《中国白帽人才能力与发展状况调研报告》

https://www.qianxin.com/threat/reportdetail?report_id=166

原文始发于微信公众号（奇安信集团）：漏洞数量上升、平均收入下降……2022年白帽人才发生了这些变化