海外安全行业工资水平怎么样？

0x00 起因

作为一个开发，为什么会去关注安全行业的工资水平呢？还是海外的。起因是我最近不是想挖海外的SRC嘛，在查资料的过程中，发现了某网站上的一个讨论话题，话题我记得是bug bounty hunter earning， 下面聊的大概就是大家全职或兼职挖洞（bug bounty hunter）大概赚多少钱。

其中有一个老兄就谈到全职挖洞的性价比太低，即使挖洞一个月赚1万刀也划不来，因为全职挖洞的不确定性，以及如果要每个月都赚到1万刀，就需要花费大量的时间在research上，可能平均每天工作时间会非常长。考虑时薪的话，不如找个班上！

这位老哥后面有补充，除非你是那前10%的白帽子，或者live in a third world country（平均工资比较低），可以考虑全职挖洞。

0x01 数据

当时可给我好奇坏了，海外安全行业工资这么高吗？月入1万刀都看不上了？于是去搜索了几个和安全相关的岗位：

注1：以下数据来源于indeed 2024年的数据，应该算是比较可靠的数据~
注2：以下岗位所在地区都是US，不代表海外其它地区。

indeed是成立于US的一个全球性的招聘网，目前号称是全世界最大的招聘搜索引擎。

薪资水平

Penetration tester（渗透测试）

年薪，最低$80,449，最高$172,785，平均$117,900

Application Security Engineer（应用安全工程师）

年薪，最低$90,425，最高$213,318，平均$138,886

IT security specialist（信息安全专家 / 信息安全专员）

年薪，最低$66,856，最高$190,249，平均$112,779

岗位信息

um，看起来工资确实挺高的，但是都有啥要求呢？然后我又搜索了其中两个岗位最近发布的岗位的信息以及招聘要求：

某公司的Penetration tester岗位

最近1个月内发布的，全职，年薪在$65,000 - $117,500

岗位职责：

主要职责和国内的渗透测试岗位差不多，主要就是对系统或软件或渗透测试、写报告，关注威胁情报等等。

岗位要求：

学历要求计算机相关的学士学位，但是如果没有的话，有4年工作经验（2年以上的相关工作经验）也行。

然后其它就是精通Linux或Windows操作系统，会一些安全知识啦，最少懂一门脚本语言，有解决问题的能力，都算比较通用的能力了。

最后就是加分项了，包括网络协议相关的知识、沟通能力（这个在国内好像必要项）和文档撰写能力、各种证书等等。

某公司的Application Security Engineer岗位

最近1个月内发布的，全职，年薪：$110,000 - $154,000，支持远程工作

岗位职责：

这个岗位需要做代码审计、安全工具的开发工作、建立安全的代码规范和安全流程之类的工作。

岗位要求：

学历也是要求计算机相关的学士学位，但是同样的，如果是有相关经验没有学位也会考虑。

看起来好像海外对学历要求普遍没有这么严格，只要你有相关的经验和能力就可以了。

其它的主要就是需要有一定开发经验（Java、Python、JS等）、熟悉安全方面的最佳实践（比如怎么避免OWASP Top10这种），然后就是一些解决问题、沟通这些的通用能力了。

还有一个则是不管是渗透测试还是应用安全工程师，都对需要有一定的代码能力，最少需要了解一门开发语言。

0x02 无言

所以难怪漂亮国的老哥看不上挖洞这三瓜俩枣了，辛辛苦苦挖一年不如稳定找个班上，人家公司好歹还帮他买保险，旱涝保收。而且如果能够一个月挖到1万刀了，我感觉就算不满足上面的岗位要求，也差不远了。

不过我感觉国内其实也类似，全职挖洞的性价比也挺低的，除非能能够做到头部，但是如果有这个能力了，全不全职其实都差不多了。 不知道安全圈的各位师傅们怎么看？

---

欢迎关注我的公众号“混入安全圈的程序猿”，更多原创技术文章第一时间推送