渗透测试这个岗位在现在乙方来说还是很缺的

题主说到的渗透测试这个岗位在现在乙方来说还是很缺的，但是这其中有很多问题。

首先就是靠谱的渗透大佬其实就那么多，但是对乙方来说这个岗位的缺口很大，所以充斥大量水平非常低的人，关键有些人还没有自知之明。 我当初在一家乙方安全公司实习的时候，跟我一起入职的就有两个大专的，只培训了三个月就入职的，很多基本的漏洞原理都还没搞清楚。 据我了解这个情况各大乙方安全公司都有。

第二是渗透岗位其实做得真的没意思，可能题主现在觉得渗透，挖洞好有意思，但是工作了情况就不一样了，有种每天都在做重复劳动的感觉。 首先大多数渗透测试的项目都是简单让你找找漏洞，然后出报告就完事了，根本不能让你深入，甲方爸爸不允许。 然后就是你渗透的系统可能你前不久才搞过，只是说又要检查了，所以又要搞一次（特指政府的项目）。 做过几个项目之后就会觉得大多数的系统都差不多，提升全靠自己，说实话，挖src学的东西比这多多了。 而低门槛和高重复性的特点也意味着极大的可替代性，以后水平低的渗透测试人员可能会大量被淘汰。

乙方大量需要渗透测试人员的原因是市场的需要，而近两年市场突然激增的渗透测试项目大部分是国家政策对各单位的安全要求来的。 而国家对这些单位检查的方式就是通过黑盒扫描器对单位和企业的网络服务进行扫描，如果出现漏洞了就要通报批评，罚款之类的处罚。企业和单位为了通过检查，就会委托乙方安全公司去做渗透测试等的安全服务（买产品的另外说）。做渗透测试的首先项目多，第二时间紧，所以很多系统基本就是上扫描器扫一波，再手工简单看看就出漏洞报告了，有些时间确实紧得不行的，直接上扫描器就出报告了，出了报告甲方就按照你报告的漏洞以及修复建议去修复，再复测漏洞，这样就完了。 不知道看出问题没有？ 这个过程中乙方给甲方是通过一种很片面、很无奈的方式在赋予安全能力，这虽然能在一定程度在提高甲方的安全，但是更多的是走一个过场，如果甲方业务简单，那可能也足够了，但是按照互联网现在的发展来说，已经很少再有业务那么简单的企业存在了，今天互联网公司的业务每天都在变，确定定期的做渗透测试、代码审计就可以解决安全问题？而且系统那么多，怎么做得完？ 要配多少人？ 投入产出比怎么算？ 一般安全团队是不能给公司带来盈利的部门，公司养的起嘛？