小议企业安全供需和职业发展（内有限时活动）

甲方招人不易，各大公司用尽奇招，出卖技术带招聘，顶着大油头上招聘直播，软硬兼施请小姐姐为招聘代言...这背后都是什么情况？这次来聊聊这个话题

本文共有3200余字，分为6个段落，预计需用时12分钟。

一、招聘吐(hao)槽(nan)

这是一件因吐槽而引起的文章，为什么要吐？无他、太难了！！！君不见现在各大公司招人用尽奇招，技术文章后面必跟招聘广告已成标配不说，大佬们顶着油亮又稀缺的发型奔赴直播现场，只为求得一员。

一方面反映出安全行业人才缺口极大，但另外一方面又有大量的简历和候选人被过滤掉，想来这里面是不是出现了某种认知偏差？

为啥？最直观的感受是发出去的JD，收到的简历中70%以上都是渗透类，然后里面90%又都是web安全类的简历，实习生也是如此，70% - 80%都是web安全方向的，安全其他方向的完全不在一个数量级上。

安全各个方向都是精彩纷呈啊！然后一次群里吐槽后，萌生了这篇文章。

SO...带着一众大佬还有腾讯安平lake总的寄(tiao)语(kan)，小议下安全职业，因为我主要工作经历在甲方，所以仅从甲方角度来谈，另外高度和格局有限，内容仅供参考，不服来辩！

二、甲方安全的变迁

记得参加第一份正式安全工作是在2004年，安全还处在很容易与网管划等号的时代，了解一点的会说：“杀毒的吧！”，不懂的会说：“在哪个商场当保安啊，很辛苦吧！”。

现在安全已经有了翻天覆地的变化，不管是安全变为国家战略，还是国家安全周、首都安全日等宣传，让更多人对安全有了更深入的认识。

安全行业本身在公司的重要性也在不断提高，从网管兼安全，到归属运维，再到平级，再到出现CSO、CISO，而分工也越来越专业化，有了更精细的部门岗位划分，以及出现了较明确的职业发展路径。

这个过程和企业业务的发展其实是强关联的，而且随着企业业务形态的变化，安全的关注重点也在不断的变化，例如：

终端/网络安全：2000年左右终端/网络安全是关注重点，尤其是CIH、冲击波、震荡波等蠕虫爆发，以及大量终端漏洞被工具化抓肉鸡，让企业对安全有了初步直观认识，但多数公司安全是网管兼职状态，甲方少有全职安全团队；
web安全：在2000年后web2.0的发展，一批互联网公司兴起，由于业务依托web服务直接暴露在公网中，瘫痪业务挂黑页让互联网企业经营直接受到危害，一些先行的大互联网公司组建了全职安全团队；
业务安全：在web2.0发展的同时，电商、网游也是互联网第一波红利行业，带动了最早的一批职业黑产，比如外挂、私服、刷单，业务安全这个领域也有了细分，甲方也有了独立业务安全部门，专注在特定领域；
移动安全：2013随着4G的发布移动时代迎来了大发展，业务纷纷转向移动端也带来了重新打包，仿冒，外挂等黑产，也催生了移动安全市场；
云安全：移动时代的同时对企业市场还有个重大影响是云化，业务云端迁移的过程也给甲方安全带来了很多变化，公私有云的融合带来安全架构变化，比如内部安全被弱化；
安全合规：2011年CSDN等一系列网站密码泄露让社工库成了必备“工具”，随后国内外一系列事件，到2017年网安法、18年GDPR颁布、数据和隐私安全成了合规热点，甲方可有可无的合规岗位变的越发重要，也催生了全知科技这样的先行者；
其他：还有很多如IOT安全、内容安全等，这些不再独立列举了，能简单回顾下安全关注的发展过程就好。

那么这些给安全职业发展带来的是什么？即业务类型越来越多变，安全也越来越复杂，分工和需求都越来越专业化。

三、甲方职业发展

如果用前文的关注点来分析，会发现安全岗位在逐渐细分，例如：

为了解决web安全问题：细分为以黑盒为主的渗透测试、白盒为主的代码审计，评审为主的SDL工程师等；
为了解决业务安全问题：细分为外挂防护的逆向工程师，关注账号业务的业务风控，建立模型的算法工程师，抓捕为主的黑产打击；
为了解决移动安全问题：细分为移动安全测试，移动安全加固等；
为了解决安全合规问题：有等保/27001方向的合规工程师，数据安全方向的数据安全，隐私方向的隐私安全等；
此外还有，安全产品、安全开发、安全SRC运营等细分的安全职业

如果从大的归类上，甲方安全需求会有以下几个大类：

基础安全类
合规/数据安全类
业务安全类
安全开发类
安全管理类

上述大类下根据公司规模体量，又会进一步拆分出小部门，越大型公司安全投入越多的，越会细分来提高专业性。

安全从“兼职安全”到“独立安全”再到“安全细分”，甲方安全职业发展上也有了明确的职业路径，类似这样：

大体上甲方安全最终都会走上技术序列和管理序列，两个序列越往后互换的难度和成本越高，两类序列在很多互联网公司中多数已实现待遇类似，管理和技术只是工作偏重点不同的方向去划分，相对的要求在于：

技术序列：越往上要求技术越精通，越要有技术前瞻性；
管理序列：越往上要求对业务理解越深入，越要有统筹规划能力；

所以如果从发展路线上来看，不同岗位不同的路径，都是有良好的发展前景。但现实情况是，很多人都挤在了web安全这条路上，从长远发展路径上看，这会让走这条路的竞争更激烈，所以接下来谈谈选择？

四、供需问题

目前安全职业供需很不均衡，行业的引导上也存在偏科问题，大部分学校的人才培养、社会的宣传都集中在渗透方向或是web安全上。

比如CTF类的比赛，SRC的挖洞奖励，虽然本意都是激励漏洞挖掘，但因为web安全低门槛易实战的特点，导致大量人才都集中到这上面了，其他方向的人寥寥无几，但是从上面章节内容可以看出，企业安全对各个领域都有广泛的需求，而且随着行业发展，专精化的特点，供需问题会越发突出。

为什么会出现这种问题？

web安全业务应用广泛，架构上安全考虑不多，存在的问题较多，也容易造成严重的后果，所以需求最大；
web安全上手门槛较低（专精不低），3-6个月的培训班出来即可干活，也有很多场景可以随时练手；
容易获得成就感，不管是CTF比赛、SRC漏洞奖励、白帽沙龙这些都很容易获得极大物质和精神成就感，以及他可以，我也可以的的状态；
甲方对安全的理解，现在还存在很多一个人的安全团队，这类公司高层很难对安全有深入理解，更不会考虑到资源的安排，web安全多数也是最紧迫的安全需求。

应考虑的问题

php之类的语言在企业业务中快速淘汰，java类的框架安全性增强，web安全漏洞已经相对比以前少了很多，从owasp top10 近10年排名也可以看出，未来web安全会越来越健壮；
易上手快速入行也会存在竞争激烈的问题，实际上web安全时代大佬们，已经在其他领域开始了更深入的发展；
未来5年后行业进一步细分，不同安全行业领域互换的成本会增大，企业更倾向在该领域有长时间发展的人，而非中途转过来的，文首截图部分其实可以看到一些公司安全已经开始行动了；

简单的说，可以着眼考虑下安全行业长远发展趋势，不要局限在眼前的利益上，当然了本文绝非贬低web安全带来的价值，实际上web安全长期都会是企业安全必不可少的岗位，但这是是否是你的最佳选择？

五、最后要说什么？