小议：甲方企业安全岗位供需和安全职业发展路径（修订版）

更正部分信息，重新发布，探讨安全职业发展，这次来聊聊这个话题！

本文共有3600余字，分为6个段落，预计需用时12分钟。

一、招聘吐(hao)槽(nan)

这是一件因吐槽而引起的文章，为什么要吐？无他、太难了！！！君不见现在为了招人用尽奇招，技术文章后面必跟招聘广告已成标配不说，还要真人曝光奔赴直播现场，只为求得一员。

一方面反映出安全行业人才缺口极大，但另外一方面又有大量的简历和候选人被过滤掉，想来这里面是不是出现了某种偏差？

为啥？最直观的感受是发出去的JD，收到的简历中70%以上都是渗透类，然后里面90%又都是web安全类的简历，实习生也是如此，70% - 80%都是web安全方向的，安全其他方向岗位的不在一个级别上。

但这点其实是和企业安全岗位供需不匹配的，安全已经不是一个人的安全了，各个方向都是精彩纷呈！一次群里吐槽后，有了这篇文章。

SO...带着一众大佬还有腾讯安平lake总的寄(tiao)语(kan)，小议下甲方安全职业发展，因为我主要工作经历在甲方，所以仅从甲方角度来谈，高度和格局有限，内容仅供参考，不服欢迎来辩！

二、甲方安全的变迁

记得参加第一份正式安全工作是在2004年，安全还处在很容易与网管划等号的时代，了解一点的会说：“杀毒的吧！”，不懂的会说：“在哪个商场当保安啊，很辛苦吧！”。

现在安全已经有了翻天覆地的变化，不管是安全变为国家战略，还是国家安全周、首都安全日等宣传，上至企业，下至百姓让更多人对安全有了更深入的认识，回家再也不会被人问在哪个商场上班了，要求千里取QQ也日益少见。

而安全行业本身在公司的重要性也在不断提高，从网管兼安全，到归属运维，再到和运维平级，再到出现CSO、CISO，而分工也越来越专业化，有了更精细的部门岗位划分，以及出现了较明确的职业发展路径。这些说明行业已经走向成熟化了，这是一个重要的标志！

这个过程和企业业务的发展其实是强关联的，而且随着企业业务形态的变化，安全的关注重点也在不断的变化，例如：

终端/网络安全：2000年左右终端/网络安全是关注重点，尤其是CIH、冲击波、震荡波等蠕虫爆发，以及大量终端漏洞被工具化抓肉鸡，让企业对安全有了初步直观认识，但多数公司安全是网管兼职状态，甲方少有全职安全团队；
web安全：在2000年后web2.0的发展，一批互联网公司兴起，由于业务依托web服务直接暴露在公网中，瘫痪业务挂黑页让互联网企业经营直接受到危害，一些先行的大互联网公司组建了全职安全团队；
业务安全：在web2.0发展的同时，电商、网游也是互联网第一波红利行业，带动了最早的一批职业黑产，比如外挂、私服、刷单，业务安全这个领域也有了细分，甲方也有了独立业务安全部门，专注在特定领域；
移动安全：2013随着4G的发布移动时代迎来了大发展，业务纷纷转向移动端也带来了重新打包，仿冒，外挂等黑产，也催生了移动安全市场；
云安全：移动时代的同时对企业市场还有个重大影响是云化，业务云端迁移的过程也给甲方安全带来了很多变化，公私有云的融合带来安全架构变化，比如内部安全被弱化；
安全合规：2011年CSDN等一系列网站密码泄露让社工库成了必备“工具”，随后国内外一系列事件，到2017年网安法、18年GDPR颁布、数据和隐私安全成了合规热点，甲方可有可无的合规岗位变的越发重要，也催生了全知科技这样的先行者；
其他：还有很多如IOT安全、内容安全等，这些不再独立列举了，能简单回顾下安全关注的发展过程就好。

那么这些给安全职业发展带来的是什么？即业务类型越来越多变，安全也越来越复杂，需求和分工越来越专业化。

三、甲方职业发展

如果用前文的关注点来分析，你会发现安全岗位是在逐渐细分的，例如：

为了解决web安全问题：细分为以黑盒为主的渗透测试、白盒为主的代码审计，评审为主的SDL工程师等；
为了解决业务安全问题：细分为外挂防护的逆向工程师，关注账号业务的业务风控，建立模型的算法工程师，抓捕为主的黑产打击；
为了解决移动安全问题：细分为移动安全测试，移动安全加固等；
为了解决安全合规问题：有等保/27001方向的合规工程师，数据安全方向的数据安全，隐私方向的隐私安全等；
此外还有，安全产品、安全开发、安全SRC运营等细分的安全职业

如果从大的归类上，甲方安全需求会有以下几个大类：

基础安全类
合规/数据安全类
业务安全类
安全开发类
安全管理类

上述大类下根据公司规模体量，又会进一步拆分出小部门，越大型公司安全投入越多的，越会细分来提高专业性。

这样安全从“兼职安全”到“独立安全”再到“安全细分”，在成熟的甲方公司，安全职业发展上也独立出了明确的职业路径，类似这样：

大体上甲方安全最终都会走上技术序列和管理序列，两个序列越往后互换的难度和成本越高，两类序列在很多互联网公司中多数已实现待遇类似，管理和技术只是工作偏重点不同的方向去划分，相对的要求和区别在于：

技术序列：越往上要求技术越精通，越要有技术前瞻性；
管理序列：越往上要求对业务理解越深入，越要有统筹规划能力；

所以如果从发展路线上来看，不同岗位不同的路径，都是有良好的发展前景。但现实情况是，很多人都挤在了web安全这条路上，从长远发展路径上看，这会让走这条路的竞争更激烈。那么为什么会这样，以及如何选择可以价值最大化？

四、供需问题

从现状上来说，目前安全职业供需很不均衡，学校和行业自身的引导上也存在偏科问题，大部分学校的人才培养、社会的宣传都集中在渗透方向或是web安全上。

比如CTF类的比赛，SRC的挖洞奖励，虽然本意都是激励漏洞挖掘，但因为web安全低门槛易实战的特点，导致大量人才都集中到这上面了，其他方向的人寥寥无几，但是从上面章节内容可以看出，企业安全对各个领域都有广泛的需求，而且随着行业发展，专精化的特点，供需问题会越发突出，所以可能web类安全在未来行业进一步成熟会率先饱和。

为什么会这样？

web安全业务应用广泛，架构上安全考虑不多，存在的问题较多，也容易造成严重的后果，所以需求最大；
web安全上手门槛较低（专精不低），3-6个月的培训班出来即可干活，也有很多场景可以随时练手；
容易获得成就感，不管是CTF比赛、SRC漏洞奖励、白帽沙龙这些都很容易获得极大物质和精神成就感，以及他可以，我也可以的的状态；
其他方向不容易有场景，也就是说想深入提升不容易；
甲方对安全的理解，现在还存在很多一个人的安全团队，这类公司高层很难对安全有深入理解，更不会考虑到资源的安排，web安全多数也是最紧迫的安全需求，这点也是现实情况。

关注和思考

首先php之类的语言在企业业务中快速被淘汰中，java类的框架安全性也在不断增强和完善，安全文化进一步的提升后，web安全漏洞已经相对比以前少了很多，从owasp top10 近10年排名也可以看出，未来web安全会越来越健壮；
易上手，快速入行也会存在竞争激烈的问题，单一的web攻击利用不会带来特别高的独特价值，如果走这条路需要不断扩充自己的能力，比如代码审计，工具开发能力，SDL等，实际上也可以看到web安全时代大佬们，已经在其他领域开始了更深入的发展；
其他方向入手门槛高，从另外一方面来说其实也是提高了竞争门槛，形成了差异化竞争；
未来5年后随着行业进一步细分，不同安全行业领域互换的成本会增大，企业更倾向在该领域有长时间发展的人，而非中途转过来的，文首截图部分其实可以看到一些公司安全已经开始行动了，安全其他领域缺口越来越大，开始扩充培养方式。

归纳下，可以着眼考虑下安全行业长远发展趋势，以及自身对技术的定位和特点，不用局限在眼前的利益上或易于入门上。

例如通过快速上门，掌握了一些web安全知识，可以用扫描器来找一些漏洞，但是没有java等编程语言基础，也不擅长去深入挖掘web漏洞，自身感觉会快进入一个平台期，如果这样就不如换个赛道。

当然了本文绝非贬低web安全带来的价值，实际上web安全长期都会是企业安全必不可少的岗位，只是考虑是否是自己的最佳选择？

五、最后要说什么？