具备基础的工程师素质是从业的基础,在攻防渗透和软件开发有较为扎实的基础,同时兼备兴趣驱动和良好的适应能力上比较亮眼,则能很好的适应工作挑战。
软件开发技术:安全是软件开发技术的属性
安全本质上是技术实现的必备属性,和软件质量类似,因此做好安全的前提是懂得软件开发技术。而又由于任何软件开发技术都有可能安全问题,因此对于安全工程师来说,需要懂得各种语言的特性,比如Java、PHP、Python、JavaScript等,要设计后端、移动端、客户端、服务器等各种技术实现。
安全攻防技术:安全的本质是攻防
安全的本质是攻防,无论是做SDL、数据安全、安全开发、安全合规、安全架构或者蓝军等岗位,只有懂得安全攻防,你才知道别人是如何攻击的,自己应该如何防更有效。因此对各种常见的安全威胁,比如各类漏洞的原理与利用、各种黑灰产的攻击方式、监管的各种检查方式等等。
软件开发的技术迭代已经非常快了,而且需要学习各种软件开发技术以及其安全风险,这对个人的能力要求是非常高的。所以我们会发现市面上多数人是不具备这两者能力的,更多的是要么懂开发,要么懂攻击。
安全行业的现状是大部分从业者都偏向于攻防渗透,如果同时拥有强大的开发技能,从业优势将非常明显。在安全产品开发、漏洞挖掘、代码审计上,不同技能的互补显得非常重要,做漏洞扫描器的同时如果在SRC挖过漏洞、做代码审计也能掌握软件开发、做合规审计的人也拥有CISP证书,工作中就会更加得心应手。
对安全发自热爱:兴趣驱动是最长久的
和安全产品开发一样,渗透测试也需要不断试错,我们往往在各种可能存在漏洞的地方测试数百个请求才有所收获,这需要经年累月的坚持下来,但这种坚持无法速成,而兴趣这位最好的老师就能够促使我们坚持。我对于安全的坚持就是兴趣驱动的。遇到一个线索,我会从傍晚折腾到黎明;又会因为一个突破点,从凌晨摸索到下午。我见过太多优秀的白帽子都是因为热爱,特别是他们能够跨行业地坚持热爱。
回顾从业安全行业十来年,做出的所有成绩并不是因为我更聪明、技术更好、更有天赋,而是每件事我都充满了热情,不断的迭代希望做到最好。
努力让你变得优秀,热爱才能让你变得卓越。
成果:没有结果的优秀是空谈
直观的成果是展示自己综合能力的最好方式,无论是在顶级期刊发表论文、知名比赛中获得好成绩、挖掘众多高质量的通用漏洞、研发Star数非常高的开源项目,还是在安全会议上分享先进理念,甚至突破了行业难题等等。
其它:优秀特质越多成长越快
- 某一方面突出优秀的人,不要成为千篇一律的普通人。
- 综合能力(软性技能)能在做事过程中帮到我们,但这不应该是我们的发展方向。
- 适应能力,软件工程师普遍三年换一轮新技术,而安全工程师则是每年都有新的安全技术、安全防御手段、安全方向,而应对这些思念情况,别无他法,唯有不断学习,良好的自驱自学能力会让你更快成长。
- 智商高、情商高、乐观、沟通交流、逻辑、影响力等