加入收藏 | 设为首页 |

帝王蟹的做法-TK教主:对缝隙的一些主意

海外新闻 时间: 浏览:216 次
帝王蟹的做法-TK教主:对缝隙的一些主意

雷锋网注:该文作者为于旸, 网名“tombkeeper”,人称“TK教主”,腾讯安全玄武实验室负责人,世界闻名的白帽黑客,该文已获于旸授权转载。

对安全问题的一个常见误解是以为缝隙是某种像导弹相同的东西,可以用油纸包起来放到山洞里。但导弹不会消失,而缝隙转瞬即逝。缝隙是动态的,不断发生,不断消失,所以其实更像电。电一旦发出来,难以长时间保存。所以搞电力建造,中心不是囤积多少电池,而是建多少电站。关于缝隙来说,“电站”便是安全研讨者。

在缝隙研讨范畴,人和人的不同有多大呢?大到一万个臭皮匠也顶不了一个诸葛亮。在任何职业,这种状况都是管理者最不喜爱的,但又是一个客观事实。在现在以及可预见的未来,没有什么软件或硬件能替代优异的缝隙研讨者。

现在业界公认水平最高的缝隙研讨团队是 Google 的 Project Zero。Project Zero 汇聚了全世界各类缝隙研讨方向上最好的一些人,每年都能产出数量和质量惊人的效果。那为什么这些人都乐意去 Project Zero?

Project Zero 的待遇当然是很好的。但相同的待遇,许多公司都能给得出。最主要的原因是 Google 给了 Project Zero 最宽松的气氛,特别是准则性地答应和鼓舞对研讨结果进行彻底发表。

红斑狼疮图片

对研讨者来说,除了薪酬待遇,最重要的是自己的效果能为业界所知,能自在地进行沟通。这一点,决议了他们可以从心里中发生强壮的自我驱动力,帝王蟹的做法-TK教主:对缝隙的一些主意能对研讨的问题昼思夜想,全身心投入。而不会像大多数人那样抱着拿一份钱打一份工的主意。不会多作业几分钟就以为公司占便宜了,自己吃亏了。

2006 年前后,国内网络安全研讨人员的薪酬水平比较低。那几年 McAfee、Fortinet 等外企从我国挖走了大批优异人才。以至于硅谷有些安全公司研讨团队里一半以上都是华人。2012 年之后,国内这个职业的薪酬状况逐步好起来,去国外的人就少了,一些现已去了国外的人也回来了。

现在国内安全研讨实力和美国比较尚有距离,但处于蓬勃发展的状况。相对自在的环境,让大批优异的年轻人乐意参加这个职业,展现才调,取得归于自己的成果。假如现在改动这种环境,让每个人在发布研讨效果时都左思右想战战兢兢,短期内或许能取得少许表面上的平安和安稳。但长时间来看,必定会对安全人才培养形成十分负面的影响。

说缝隙像电,缝隙其实又不像电。三峡的电,假如我国人不发,其他国家也发不了。但任何缝隙,假如你没有满足的人才来研讨,是拦不住别人去研讨的。

声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间服务。