在安全部门待了几年,一直按部就班,看到很多大咖的分享,也没有什么进一步往下行动的想法,因为大咖 的分享,无非是他们做了哪些,对一些模型的解读,如SDL、devsecops; 都没有给到更多的触动,接下来应该怎么做,做什么。后来加入到一些讨论群(一级潜水运动员),能经常看到大家在群里讨论一些东西,一些选型交流、文章文档分享。至少知道业内大家都在研究什么。
前段时间去和一家电商的安全人聊过,一方面把他们目前部门的情况摸清楚了。二面的面试官就比较犀利,一来就问我第一家公司做的产品具体叫什么名字,讲真我忘记了,也没明白他这样问的意图,现在也没明白,后来他问了我一个问题“怎么保证产品测试全面没有漏洞”,我当时第一反应是,不可能保证没有漏洞,他重复了几遍,我也保持认真的态度重复几遍,不可能保证,哈哈哈 估计面试官一阵无语。后来我才想到,他估计想问的是方案体系制度,在无法全面保证的情况下,可以通过制度来完善和约束。没想到一场面试给了我一个重击。以前一直重心在技术,怎么说,就是尽可能的挖掘漏洞,保证安全,这样乐此不疲一直一直的做Security test,但是光做这些不够的或者永远也做不完,特别是在人力不足的情况下,而且公司不愿投人,那么思路就要转变,从体系制度出发,建立完善的流程制度。虽然这方面也有做,但一直不是重心,因为并不好推行。
投入与产出比,思考能带来的价值。