对于安全行业的小伙伴来说，对于 CTF 和 SRC 都不陌生，或多或少有所了解。但是，对于安全技术来讲，如何证明自己的能力？如何评估一个人的安全技术在什么样的级别？面试的时候拿什么来做参考？对于这几个问题，目前大家谈的最多的就是在 xxx SRC 排名多少、在 xxx 比赛中拿过什么样的奖项，对于没有工作经验的人来讲，这些都是比较好的参考，如果工作几年之后，判断一个人技术能力的最大参考将变为工作期间的成就与经验。

在我大学期间，学校的三叶草每年都会组织 CTF 比赛，对于 SRC 的话也就是当年的乌云了。对于 CTF 和 SRC 能够拿到名次的基础是差不多的，但是一些打 CTF 很强的人不一定能在 SRC 上去的很好的名次，在 SRC 排名前几的在 CTF 比赛上也不一定能拿到好的名次，这是为什么呢？

CTF 那些事

ctf 比赛通常由技术大佬，将安全技术中的某个点，通过设计一个场景，让参赛者突破限制拿到隐藏的 flag，能否做出这个题目，取决于你是否能够理解出题人的思路和目的。加入出题人出题的思路比较常规，那么极大的可能会被人秒杀，为了防止辛辛苦苦出的题目被人秒杀，通常会加一些脑洞在里面，这样就大大的提升了题目的难度。

随着比赛不断举办，题目的难度越来越高，考察的技术深度越来越深，如果你是一个很强的 CTFer，那么你的安全技术基础是值得肯定的，即时没有什么工作经验，去了企业还是可以快速创造价值的。

SRC 那些事

从乌云时代到后来的补天，再到现在各大公司纷纷开设 SRC 来收集自家的安全漏洞、威胁情报，CTF 更侧重于技术学习和技术创新，而 SRC 的目标都是正运行在网络上的真实系统，如果你能找到系统的安全问题，这是可以直接造成危害或者对企业造成损失的隐患，所以 SRC 更加贴近实战。

CTF 考虑的是出题人的思路以及最新的技术动向，而 SRC 需要考虑的是真实的研发、运维因为自身安全意识不足而导致问题系统上线、或者未遵循安全配置等情况。作为一个 SRCer 要经常关注最新的漏洞报告情况、各个企业最新的业务系统、业务系统最新的功能，这些都是非常容易出问题的地方。如果你的 SRC 排名比较好，去了企业是可以直接创造价值的。

到了企业，你可以接触到在外面无法覆盖的系统，或者了解外围未能收集到的资产，利用你 SRC 的测试经验，可以快速为企业找出安全问题，而 CTFer 更多的是技术研究，如果企业有专门研究安全技术的实验室，那么 CTFer 是比较合适的。

总结

对于 SRC 和 CTF 如何获取好的名次，如何学习，这些就不多说了，有了基础之后，怎么发展需要个人的努力和时间来决定，我在这里就是把我的一些理解和思考分享出来，不一定全对，欢迎大家的吐槽，共同进步。