一半白帽子是單身夜貓子，另外一半……你猜？

新聞 01-24

作為一名潛伏在多個安全群的老司機，編輯自認為對這個群體還不夠了解。

比如某白帽群一位童鞋真誠發問，有沒有想創業的，他可以帶資進組。

下面一排踴躍回答的：

我想開個奶茶店，需要50萬，現在還缺50萬；

我想加盟肯德基；

coco嗎？為妹子開？；

coco也需要營銷，不過可以招個會營銷的，需要我嗎？

（新聞：農村一畝地，養活一家三口），我可以

做麻辣燙？

開……主題酒店？

總結：安全做不下去了，然而午飯過後，這群人又開始在群里交流技術了……

在攻與防的網路世界裡，白帽子們夜晚工作的特性與高超的技術能力給他們蒙上了神秘的面紗，人們似乎對這個群體既充滿敬意又存有顧慮，甚至其中還有不少的誤解。比如你以為在網上日天日地的白帽子們現實里都是不愛說話的天才自閉青年，實際上他們年輕有活力，偶像是丹尼斯·里奇與肯·湯普生，來自企業的誤解更可能會讓他們提交的漏洞得不到認可。

如果給你一個機會，走近這群帶著各種標籤的「個性」青年們，你想知道什麼？宅客頻道就在補天發布的《中國白帽子人才調查報告》中發現了不少秘密，統計結果可能比白帽子自己都了解自己。

年輕宅男/女

「年輕宅男」是白帽子群體的第一個顯著特徵。調研顯示，「男同學」是組成白帽子群體的主要人群，超過半數的白帽子是95後。同時，白帽子人群的學歷結構正在逐步提高，八成以上的白帽子擁有大專或本科以上學歷，甚至碩士、博士群體的加入也已經不再罕見。

（一）白帽子的性別比例

調研顯示，中國95.4%的白帽子是男性，男女性別比例高達21:1，女生在白帽子中屬於絕對的稀有品種。

（二）白帽子的年齡分布

根據調查結果顯示，白帽子的年齡集中在90後和95後。其中，95後年輕人佔到了白帽子群體的53.9%。85後只佔該群體的10%，而85前的活躍白帽僅佔全體總數的不到1%。

（三）白帽子的地理分布

目前，中國白帽子的人口分布集中在華東地區（約佔25%）、華南地區（約佔20%）、華北地區（約佔20%）、華中地區（約佔10%）、和西南地區（約佔10%），再向下追溯更加聚焦於廣東，北京，四川，山東，上海，江蘇等經濟科技相對發達地區及一線城市。

（四）白帽子的學歷情況

調查顯示，有超過8成的白帽子擁有專科或本科學歷，但有約4成白帽子為在校學生。其中，高中或初中在校生約佔10%。總體而言，白帽子的學歷水平正在不斷提高，碩士、博士等高學歷人群在白帽子群體中也已經不再罕見。

從白帽子所學專業來看。有將近80%的人學習的專業與計算機學科相關，如計算機科學與技術、網路工程、軟體工程等。其中，來自信息安全專業的同學最多，佔比為26.1%。可以看出，白帽子的專業化程度越來越高。外行挖洞，跨界挖洞的情況已經越來越少。

單身夜貓子

從生活上來看，白帽子是一群「愛玩不愛吃的單身夜貓子」。養成良好的生活習慣和找到自己的另一半是白帽子人生的最大課題。

（一）白帽子的作息時間

作為一名白帽子，挖洞是生活的主旋律；作為一名技術宅，熬夜晚睡也是一種生活常態。調查顯示，通常能在深夜12點前上床睡覺的白帽子僅有約51.2%，14.1%的白帽子常常通宵不睡。或許只有在深夜時候，白帽子們才能成為「暗夜的正義使者」吧。

（二）白帽子的飲食習慣

對於飲食，白帽子普遍不怎麼挑剔：從來不在乎吃什麼的白帽子超過35%，喜歡清淡飲食和快餐外賣的白帽子也分別多達25.4%和18.3%。真正能夠自己下廚做飯，保持健康飲食的白帽子，僅有20%多一點。

（三）白帽子的興趣愛好

白帽子除了挖洞之外，同樣擁有非常豐富的業餘愛好，他們很喜歡打遊戲，但是也很喜歡運動、音樂、旅行和追劇。

（四）白帽子的情感狀態

或許是因為挖洞的成就感遠遠超過了異性的吸引力，白帽子群體堪稱單身狗俱樂部。接近60%的白帽子目前還是單身狀態；雖然也有近三成的白帽子已經有了自己的女（男）朋友，但真正已婚、已育的白帽子僅有10%多一點。

已脫單比例如此之低，這與白帽子群體的年齡結構並不匹配。這或許與IT技術宅們普遍不善言辭，不善與人交流有關。不過好在白帽子們還普遍年輕，追求愛情還有時間！

挖洞事業

白帽子是一群愛學習，有追求，嚮往大城市生活的人；他們非常希望能夠依靠自己的技術能力服務社會，改善生活。

（一）白帽子期望工作的城市

調查顯示，北上廣深等一線城市依然是白帽子們首選的發展城市。發達城市能夠給予白帽子更多的就業機會，更大的發展平台，以及更加前沿的技術資訊。不過仍有15.4%的白帽子期望回到自己的家鄉工作。

（二）白帽子的就職情況

從就業行業來看，有超過一半的白帽子進入了IT、互聯網等行業，這與白帽子人群的學業背景是基本相符的。不過，特別值得注意的是，來自教育、國企、政府及事業單位和金融領域的白帽子也不在少數。這在某種程度上也反映出相關領域信息化水平正在快速提高，因此才吸引了大量白帽子人群的就業。客觀的說，來自特定行業領域的白帽子，由於更加熟悉相關行業的業務系統，因此也更有利於他們快速發現這些行業領域信息系統中的安全漏洞。

就網路安全領域從業經驗來看，近80%的白帽子進入安全圈的時間為3年以下，其中31.2%的白帽子進入安全圈的時間小於1年，50.0%的白帽子進入安全圈的時間為1-3年；另外，也有14.7%的白帽子進入安全圈的時間為4-6年，進入安全圈工作6年以上的活躍白帽子只佔群體總數4%左右。可以說，入圈6年以上的白帽子，真的就是名副其實的安全「老帽」了。

從收入方面開來，在已經畢業工作的白帽子中，月收入在8000-12000元的佔比最多，達到了20%以上；其次是月收入5000-8000元的白帽子，佔比為16.2%左右。下圖數據在一定程度上反映出了白帽子群體的薪資基本水平，白帽子們可以作為參考，努力豐富自己，贏得與自身價值匹配的薪資。

特別的，在這些已經畢業工作的白帽子中，仍有約15.8%的白帽子是無固定收入的。這也在一定程度上反映出了部分白帽子的生活困境。

此外，因為很多學生群體的白帽子還沒有參加實習或兼職工作，也都處在「無固定收入」的狀態。不過也有20%左右的學生白帽子每月能獲得3千-8千元固定收入，我們還發現，有6%左右的學生白帽子每月能夠獲得8000-20000的可觀收入。

（三）白帽子的就業期望

對於學生群體白帽子的求職情況來說，45.5%的白帽子沒有清晰的目標崗位，以及職業規劃，非常需要進行就業指導；31.3%的學生白帽子有相對清晰的職位選擇和職業發展規劃，認為自己不需要就業指導；。還有23.2%的白帽子對就業的概念很模糊。

從學生群體的白帽子對找工作的態度來看，有10.2%的白帽子是懼怕找工作的，31.3%的白帽子沒有明確的態度；15.9%的白帽子暫時不找工作；有42.6%的白帽子不恐懼找工作。

當被問及畢業後希望從事哪些方向的工作時，87.1%的學生白帽子表示希望畢業後能繼續從事網路安全相關工作，這表明，網路安全工作對白帽子還是很有吸引力的，而且大部分白帽子也相信從事網路安全工作會有很好的發展前景。

對於學生白帽子群體來說，最有吸引力的網路安全工作崗位是滲透測試工程師，88.6%的白帽子希望能夠從事這一崗位，這也是和白帽子挖洞工作性質最為接近的崗位。排名第二和第三的崗位分別是測試工程師和安全運維工程師。

多種技能

挖什麼樣的洞，為什麼樣的系統挖洞，不同的白帽子會有不同的選擇。

（一）目標企業與目標用戶

「愛挑你的毛病，很可能是因為她愛你」。這句話似乎也非常適合於白帽子群體。

調查顯示，超過半數的白帽子會更傾向於選擇給自己喜歡的企業挖洞，而選擇給知名企業，或使用過其產品的企業挖洞的白帽子也都接近半數。真正會專門選擇給自己不喜歡的企業挖洞的白帽子僅占白帽子群體的12.4%。白帽子選擇的挖洞對象原因，很大程度上是因為他們喜歡這些企業或尊敬這些企業。一個企業，越是受到白帽子的關注，被白帽子報告的漏洞數量越多，就越是說明這個企業或這個企業的產品深受白帽子們的歡迎。

從白帽子關注的行業來看：互聯網行業排名第一，關注度為66.3%；其次是教育行業，關注度為54.1%；排名第三的事政府機構和事業單位，關注度為49.3%。

（二）擅長挖掘的漏洞類型

在各種類型的安全漏洞中，白帽子們普遍擅長挖掘的漏洞還是傳統的Web漏洞，擅長比例高達95.9%；其次是操作系統漏洞和Android移動應用程序漏洞，不過擅長此類漏洞的白帽子比例一下子下跌到13%-14%。其他幾類應用環境下的安全漏洞，擅長的白帽子比例均低於10%。

可見，當下白帽子們的「偏科」現象比較嚴重，對於移動互聯網、物聯網等領域的漏洞挖掘能力仍然普遍不足。而實際上，企業對移動互聯網、物聯網等領域安全漏洞的關注正在持續上升，在這些應用領域有特長的白帽子可能會得到更好的發展空間。

在各類Web安全漏洞中，白帽子們最擅長挖掘的是SQL注入漏洞，擅長比例高達71.7%；其次為XSS漏洞，擅長比例為63.7%；邏輯漏洞排第三，擅長比例為52.9%。

（三）白帽子的漏洞提交量

白帽子常常活躍在國內各大知名的漏洞平台以及各家企業的SRC。在這裡，在接受調研的白帽子中，有超過半數的白帽子為這些平台或SRC提交過10個以上的漏洞，值得一提的是，有8.0%的白帽子提交過超過500個漏洞，堪稱「洞霸」！

（四）白帽子偏愛的獎勵機制

對於自己的挖洞成果，85.9%的白帽子還是很期望獲得現金獎勵；同樣有50.5%比較重視榮譽。下圖給出了白帽子們偏愛的獎勵機制分布。客觀的說，希望通過自己的挖洞特長獲取收入並改善生活，是白帽子們的基本需求。而第三方漏洞平台為白帽子建立的獎勵機制和廠商提供的獎金，都非常有助於吸引和鼓勵白帽子們提交更多的漏洞。

挖洞收入

通過挖洞，白帽子到底能夠獲得多少收入呢？調查顯示，超過60.7%的白帽子通過提交漏洞每月獲得的獎勵在300元以下， 20%的白帽子可通過提交漏洞獲得1000元以上的獎勵。其中，僅僅有不到10%的白帽子可以每月獲得3000元以上的獎勵，而這些白帽子大多參與了「眾測」項目。很多白帽子反映漏洞越來越難挖，這與國內網路安全建設愈發受到重視有很大的關係，「高價值」的漏洞對技術的要求越來越高，這也是對白帽子群體的技術水平發起的挑戰。

總體而言，真正能靠挖洞來養家糊口的白帽子，目前來說還只是極少數，但高水平白帽子通過挖洞月入數萬也已經不是什麼新聞了。白帽子群體的能力差距仍然十分懸殊。

（一）活躍的漏洞平台

目前，在國內，白帽子提交漏洞的主要渠道有三類：第三方漏洞平台、國家漏洞庫CNVD和企業自建的SRC。調查顯示，白帽子最為活躍的平台是第三方漏洞平台，87.3%的白帽子會選擇第三方漏洞平台；其次是企業SRC，而選擇直接向CNVD報告漏洞白帽子數量最少。造成這種情況可能的原因之一，是第三方漏洞平台和企業SRC能夠向白帽子提供更多獎金並能和白帽子們保持良好的互動。

職業規劃

如果問10個白帽子，未來的職業理想或職業發展規劃是什麼，有6個會回答你他們更想成為技術領域的資深專家，大約3個會告訴你他們想向管理方向發展，只有1個不想被職場束縛希望成為自由職業者，白帽子們果然是對技術高度充滿理想的追夢少年。

（一）白帽子對職業未來的期待

對大部分白帽子來講，未來能夠成為技術領域的專家（31.5%）或資深工程師（27.8%）是非常值得期待的事情，有約四分之一的白帽子更傾向於向管理崗位是發展。

從未來3-5年內，白帽子期望的薪資範圍的來看，32.9%的白帽子希望獲得3萬元以上。

（二）白帽子對漏洞酬金的看法

雖然幫助企業發現漏洞是自發行為，但73.4%白帽子們仍然希望能夠得到企業的獎勵認可，另外26.6%的白帽子為企業提交漏洞只是自己的興趣和責任，並不期待獎勵認可。

（三）白帽子對自我價值的認知

在白帽子眼中，自己挖洞所體現的社會價值，不單單為企業減少了安全隱患，同樣維護了互聯網用戶個人信息的安全，為國家的網路安全建設貢獻了自己的力量。

更懂你的是企業

作為一種特殊的「職業」，白帽子的工作往往不被理解。其實，白帽子也同樣期待得到社會的認同，這種認同來自企業和家庭兩個方面：得不到政企機構的認可，自己的努力就沒有了意義；而得不到家庭的認可，自己的努力就不會帶來幸福。

那麼，在企業和家人的眼中，白帽子的工作到底是個什麼樣子呢？調查顯示，企業遠比家人更懂白帽子！

（一）企業對白帽子的看法

曾經，有些人會誤以為白帽子的挖洞工作完全可以由漏掃工具或機器代替。調研顯示，時至今日，持這種想法的企業安全管理人員佔比仍然高達27.5%。儘管66.7%的人能夠正確認識人工挖洞的不可替代性，但這一調查結果仍然令人十分堪憂。

那麼，在企業眼中，白帽子提交的高危安全漏洞到底值多少錢呢？調查顯示，願意為高危漏洞向白帽子支付1000-3000元酬金的企業最多，佔比為29.1%；其次是3000-10000元酬金，佔比為25.2%；特別的，有22.0%的企業願意為單個高危漏洞向白帽子支付10000元以上的酬金。這一調查結果顯示：企業對白帽子提交的高危安漏洞的價值認可度還是比較高的。