“白帽子”是一群维护互联网秩序的安保人员。他们掌握高超的专业技能，致力于迅速识别安全漏洞并及时修复。工作中面对日益智能化、繁杂化、和多样化的网络攻击环境，他们不断接受挑战、提升能力并解决问题，帮助企业抵御愈发严峻的安全风险，为企业的正常运作保驾护航，是企业持续发展的大后方。然而在工作之余国内安全从业人员的整体素质又是怎样的呢？他们擅长哪些领域，又有哪些不足？如何激发他们的工作动力和效率？他们有哪些进步的空间和可能？

为了深入了解现有网络安全人才生态、明确未来网络安全人才挖掘及培养的方向，FreeBuf咨询联合漏洞盒子对于自愿参与的白帽子展开了详尽的调查，共同发布《2021中国白帽子调查报告》，试图通过这份报告展现2021年中国白帽子的真实状况。

一．关键发现

1. 2021年国内白帽子总数已超过173300人，已经帮助超过数万个客户组织发现并修复了超过260万个漏洞。

2. 国内高学历、受过系统性培训的白帽人才仍较为稀缺。本科以下学历的白帽子达到4成，专业精准对口网络安全领域的白帽子占比不到3成。

3. 参差不齐的背景条件构成了国内白帽子分散化的挖洞能力，大部分白帽子有效漏洞提交数量在300个以内。不同白帽子获得的赏金数额也存在明显分化。

4. 高达74%的白帽子最擅长在Web端挖洞。逻辑漏洞、XSS、注入、弱口令是白帽子们普遍擅长的四大漏洞类型。Burpsuite连年稳坐白帽子常用安全工具第一的宝座。

二．FreeBuf总结

随着疫情催化企业数字化转型的脚步，新的攻击模式催生新的安全需求。与此同时，《网络产品安全漏洞管理规定》的出台，对漏洞的接收、验证、报送、修补均作了明确的时效性要求，将漏洞修复工作推向规范化、体系化。

在政策与安全需求的双重驱动下，白帽子获得了前所未有的机会。然而白帽子的挖洞能力仍存在两极分化明显的情况。同时，无论是白帽子擅长的漏洞类型、偏好的工具种类以及挖洞环境均与往年没有明显的变化，这意味着白帽子的挖洞水平到达了一定的瓶颈期。

未来白帽子应该多多尝试过往不熟知、不擅长的漏洞领域，更新挖洞知识与技能，同时，政府、企业应加大对白帽子群体体系化的培训，使白帽子的挖洞能力完成从量变到质变的提升。

关于漏洞盒子

漏洞盒子，高效的网络安全测试服务平台，国内安全众测模式的创新者和领导者。连接全球安全专家资源与自有团队，通过再现真实环境进行漏洞挖掘，为企业用户提供高效、透明的新一代安全服务解决方案。

截至2021年12月，共有6123家企业入驻漏洞盒子平台，累计为企业提供漏洞数超过130万个，累计支付白帽赏金超过4000万元。漏洞盒子在近年多次举办漏洞马拉松、白帽梦想趴等白帽活动，均得到了大量白帽子的积极参与，获得了热烈的反响。被国家计算机网络应急技术处理协调中心（CNCERT）、国家信息安全漏洞库（CNNVD）、上海市委网信办分别评定为网络安全应急服务支撑单位（省级）、优秀技术支撑单位、和网络安全技术支撑单位。

关于FreeBuf咨询

FreeBuf.COM是斗象科技旗下国内领先的网络安全行业门户，每日发布专业的安全资讯、技术剖析，分享国内外安全资源与行业洞见，是深受安全从业者与爱好者关注的网络安全网站与社区。

FreeBuf咨询集结安全行业经验丰富的安全专家和分析师，常年对网络安全技术、行业动态保持追踪，洞悉安全行业现状和趋势，呈现最专业的研究与咨询服务。

如有疑问，请联系 FreeBuf 咨询 宋老师 ：

电话：15311422102（同微信）

邮箱：dandan.song@tophant.com