如果用一句话来总结甲方的工作经验,那就是:“安全为企业服务”。其实去B公司有偶然因素,也
有幸运成分。去之前A公司邀请我面试,没有向导师请假,就放弃了。B公司找我的时候正好是
暑假,就约定只做暑期实习生。但是在实习期间,我被我的团队深深打动了,这是一个高效、
团结、热情、专业的团队,值得我继续实习。于是我申请了学院。我在B公司度过了大四,并
成功获得了录用。毕业后在B公司待了两年。
我所在的部门当时是一个创业状态的电商团队。当初我的职位是渗透测试工程师,主要从事代
码和业务级安全方面的工作,前期总是一个人。当时敏捷开发还处于试验阶段,DevOps更是
不见踪影。系统还是基于版本的,需要半夜上线的时候维护。这期间有趣的是协助架构师设计
MVC2.0框架,通过框架和系统架构自然地防御常见的漏洞。当然,很多开源MVC框架都有内
置的安全保护功能。部门11年拆分后,去了基础平台架构部,负责公司产品线的安全测试、
代码审核、安全内部培训。工作中慢慢发现,随着安全从业人员能力的提高,在掌握更多安
全知识和理念的过程中,容易陷入来自业务的过度防卫误区。有时候,安全人员觉得系统漏
洞百出,甚至认为系统功能本身就是漏洞。
码和业务级安全方面的工作,前期总是一个人。当时敏捷开发还处于试验阶段,DevOps更是
不见踪影。系统还是基于版本的,需要半夜上线的时候维护。这期间有趣的是协助架构师设计
MVC2.0框架,通过框架和系统架构自然地防御常见的漏洞。当然,很多开源MVC框架都有内
置的安全保护功能。部门11年拆分后,去了基础平台架构部,负责公司产品线的安全测试、
代码审核、安全内部培训。工作中慢慢发现,随着安全从业人员能力的提高,在掌握更多安
全知识和理念的过程中,容易陷入来自业务的过度防卫误区。有时候,安全人员觉得系统漏
洞百出,甚至认为系统功能本身就是漏洞。
功能还是Bug这是个问题!
这有点像我之前在知乎上回答的一个问题:某公司的安全人员认为手机验证码必须有6位以上、
,产品经理从易用性的角度认为必须有4位,所以矛盾很多。但是,4位验证码一定不安全吗
?没有更有效的解决方案吗?如果要当年支付密码,必须有数字+大小写字母+特殊字符,必
须是10位以上。如今基本上所有支付使用的密码全部都是6位纯数字,那么安全性是提高了
还是降低了?安全为企业服务。离开业务本身谈论安全性是没有意义的,过分强调安全性
而忽视业务可用性是无稽之谈。无论是系统架构还是网络运营,照搬各种先进的安全理念
和安全框架都会浪费大量资源,达不到预期效果。
,产品经理从易用性的角度认为必须有4位,所以矛盾很多。但是,4位验证码一定不安全吗
?没有更有效的解决方案吗?如果要当年支付密码,必须有数字+大小写字母+特殊字符,必
须是10位以上。如今基本上所有支付使用的密码全部都是6位纯数字,那么安全性是提高了
还是降低了?安全为企业服务。离开业务本身谈论安全性是没有意义的,过分强调安全性
而忽视业务可用性是无稽之谈。无论是系统架构还是网络运营,照搬各种先进的安全理念
和安全框架都会浪费大量资源,达不到预期效果。
当然,这并不是说安全要无限制地给业务让路,而是说安全人员要时刻思考如何在尽可
能保证业务的前提下维护系统安全,考虑安全和业务的共存。
能保证业务的前提下维护系统安全,考虑安全和业务的共存。