o**********e
发帖数: 18403 | 1 【 以下文字转载自 Working 讨论区 】
发信人: onetiemyshoe (onetiemyshoe), 信区: Working
标 题: 建议马工们有机会多搞信息安全、安全开发方面的东西 (转载)
发信站: BBS 未名空间站 (Sun Jun 14 10:29:29 2015, 美东)
发信人: condorlee (condorlee), 信区: JobHunting
标 题: 建议马工们有机会多搞信息安全、安全开发方面的东西
发信站: BBS 未名空间站 (Sat Jun 13 17:08:45 2015, 美东)
不管是自己业余学,还是平时工作中有涉及到的,主动去学习、承担,或者公司内部成
立安全团队,愿意接受内部没有安全经验的人转岗,都要抓住机会,尤其是安全开发方
面。
现在因为人才紧缺,所以很多公司不管是外部招聘、还是内部转岗,要求门槛都不高,
进场正是机会。码工们的开发功底,再往安全方向转移时,大部分也仍然会发挥价值,
不会浪费。
整个世界,信息化程度已经很深,可是信息安全落后太多,各个公司欠的债几乎是还不
完的。我是做这个方面的所以更了解内情。
可以说是一塌糊涂,现在暴露出来的这个公司,那个银行被攻击,都只是冰山一角。大
部分的攻击都是很弱智很简单的。很多所谓的黑客,也就是拿着别人写好的工具,东戳
戳西捣捣,结果到处都是捅出来的窟窿。
窗户没关,大家一眼就看见。软件中某个地方有个漏洞,除非花大量时间仔细分析代码
逻辑,否则根本看不见。自动化工具效率高,但是只能发现特定类型的问题,而且误报
也往往很严重,仍然需要大量人工分析。
后面5年,10年,20年,信息安全状况只能是越来越严重。而目前信息安全人员已经是
严重紧缺。很多公司几个月、甚至1年都找不到一个合适的人,尤其是既懂安全也懂开
发的。因为前些年,所谓搞安全的大部分都是反病毒、反恶意软件、网络、主机、系统
安全方面的,做安全开发、代码安全方面的人员很少。
现在每个startup,每个中型it公司,每个中大型公司的每个产品线,都需要安全开发
人员。像我过去几个月,除了FLG这样的公司没有收到hr的主动骚扰,其他像uber、
airbnb、salesforce、netsuite、citrix、netflix、intuit等等,不停的有hr联系我
,有些在我拒绝后过了两个月,职位还是空缺,然后又联系我。
希望这些空缺能有国人兄弟们填上。目前这个领域看起来烙印的比例还不高,中国人还
挺多,老美也不少。大家如果在纯写代码方面感觉没有大的发展前途的,强烈建议往这
个方向发展。将来如果自己想做startup,做安全也是个更容易进入的领域。
大家如果有具体的问题,欢迎提问,我会尽量回答
发信人: condorlee (condorlee), 信区: JobHunting
标 题: Re: 建议马工们有机会多搞信息安全、安全开发方面的东西
发信站: BBS 未名空间站 (Sat Jun 13 19:29:40 2015, 美东)
我是甲方的
做security researcher也不错,短期内待遇不高,因为安全公司一般都比较穷,但是
技术积累,出点书、搞几个patent,在安全会议上讲讲,然后很容易获得甲方的喜爱
condorlee 的书单:
我大概列一下吧。
学安全我觉得最好是在工作中学习,比如在自己的组里,主动挑头,研究一下本项目安
全开发上面可以做哪些事情?有目的的,逐渐研究学习。如果为了学而学,可能会比较
茫然,因为分支领域多而杂。
安全开发流程
============
微软是先驱,他们的主页,应该足够学一阵子了
https://www.microsoft.com/en-us/sdl/
先从安全开发流程看起,也避免了过早陷入大量技术细节,导致茫然
web安全开发
===========
www.owasp.org 是一个web安全开发的综合性网站,有用的信息挺多
1. https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf 是安全测试指南
2. 安全开发指南也有,但是目前还是未完稿状态。网站上能找到链接,我就不贴了
3. 著名的OWASP top 10,搞安全的跟人打招呼专用
https://www.owasp.org/index.php/Top_10_2013-Top_10
4. https://www.owasp.org/index.php/Cheat_Sheets 介绍各类常见安全问题的基本解
决思路
书的话,可以看看黑客大曝光: http://www.amazon.com/Hacking-Exposed-Applications-Third-Edition/dp/0071740643
有中文版,电子书应该也能找到
密码学
======
密码学可以先看一遍这个打打底:http://www.amazon.com/Applied-Cryptography-Protocols-Algorithms-Source/dp/1119096723
我记得也有中文版
其他的PKI,SSL/TLS,知识比较杂,建议在网上搜搜资料看
认证、授权
==========
SSO, SAML, OAuth, OpenID,Google都能搜到不错的内容可以自己看
C/C++/native程序的安全,没有太红火,因为攻击一般比较困难,不像web是标准协议
而且太开放了。早些年主要就是buffer overflow,现在已经少多了,可以google了解
一下,先不深入学习应该也可以
从程序的逻辑角度而言:
1. 用户管理/登陆/验证/授权/会话管理
保证数据不被非法访问,只有合法用户,而且只能访问自己权限内的数据
2. 数据的保护
包括Internet通讯用TLS/SSL
数据存储时,如果是敏感数据,比如信用卡号,需要加密
3. 各种语言级别的问题
比如SQL injection, cross site scripting, buffer overflow等等
STIG是政府搞的规范,算是大而全的,如果能做到完全符合它的要求,那么你的产品安
全水平应该已经很不错了。
就算不打算通过它的认证,把它的规范当做安全开发的学习资料也不错
具体在安全开发流程里,上面那位说的,security design, secure coding,testing
,主要是这几步了
你说的打补丁,我估计是说如果用了第三方开发库、或者服务器组件,需要及时打安全
补丁吧?这个是毫无疑问的,不过就没啥技术含量了 |
ET
发帖数: 10701 | 2 我做了2年和安全和加密有关的产品开发,不得不同意这个。
在一般大点的公司,develop for security 我很难相信那些产品经理能懂,或在乎。
用软件比如iexplore去那自己iphone下那些app sandbox里内容,可以看出一堆明文暴
露信息的应用。
当然了,第一个问题应该是为什么你的手机落入别人手里而且手机还没密码。
就和把电脑送出去让别人看一样。
在stanford读了这门课,https://crypto.stanford.edu/cs155/
学了不少攻击的技术,苦无用武之地。
当然了,很多网站,app,更本不需要这些。
一个简单的,box的access token是universisal的,在网站上登录后拿回的token,放
到mobile app上,照样可以make request,拿到内容。去年的。现在不知道改进了没。
但parse在这点改进了。一个device,一个token
【在 o**********e 的大作中提到】
: 【 以下文字转载自 Working 讨论区 】
: 发信人: onetiemyshoe (onetiemyshoe), 信区: Working
: 标 题: 建议马工们有机会多搞信息安全、安全开发方面的东西 (转载)
: 发信站: BBS 未名空间站 (Sun Jun 14 10:29:29 2015, 美东)
: 发信人: condorlee (condorlee), 信区: JobHunting
: 标 题: 建议马工们有机会多搞信息安全、安全开发方面的东西
: 发信站: BBS 未名空间站 (Sat Jun 13 17:08:45 2015, 美东)
: 不管是自己业余学,还是平时工作中有涉及到的,主动去学习、承担,或者公司内部成
: 立安全团队,愿意接受内部没有安全经验的人转岗,都要抓住机会,尤其是安全开发方
: 面。
|
c*****e
发帖数: 3226 | 3 startup 还不到需要 security engineer的阶段, 所以做安全的根本没发财的机会。。。
【在 ET 的大作中提到】
: 我做了2年和安全和加密有关的产品开发,不得不同意这个。
: 在一般大点的公司,develop for security 我很难相信那些产品经理能懂,或在乎。
: 用软件比如iexplore去那自己iphone下那些app sandbox里内容,可以看出一堆明文暴
: 露信息的应用。
: 当然了,第一个问题应该是为什么你的手机落入别人手里而且手机还没密码。
: 就和把电脑送出去让别人看一样。
: 在stanford读了这门课,https://crypto.stanford.edu/cs155/
: 学了不少攻击的技术,苦无用武之地。
: 当然了,很多网站,app,更本不需要这些。
: 一个简单的,box的access token是universisal的,在网站上登录后拿回的token,放
|
o**********e
发帖数: 18403 | 4 zan! COURSERA 有CYBERSECURITY TRACK。
顺便给老文做个广告。
http://www.mitbbs.com/article_t/JobHunting/32675607.html
【在 ET 的大作中提到】
: 我做了2年和安全和加密有关的产品开发,不得不同意这个。
: 在一般大点的公司,develop for security 我很难相信那些产品经理能懂,或在乎。
: 用软件比如iexplore去那自己iphone下那些app sandbox里内容,可以看出一堆明文暴
: 露信息的应用。
: 当然了,第一个问题应该是为什么你的手机落入别人手里而且手机还没密码。
: 就和把电脑送出去让别人看一样。
: 在stanford读了这门课,https://crypto.stanford.edu/cs155/
: 学了不少攻击的技术,苦无用武之地。
: 当然了,很多网站,app,更本不需要这些。
: 一个简单的,box的access token是universisal的,在网站上登录后拿回的token,放
|
o**********e
发帖数: 18403 | 5 不是身家的问题。
是性命的问题。
。。
【在 c*****e 的大作中提到】
: startup 还不到需要 security engineer的阶段, 所以做安全的根本没发财的机会。。。
|
ET
发帖数: 10701 | 6 做web app到未必需要security engineer,就是用现有的framework。 但问题是很多都
懒得用(或不知道)
做安全没发财的机会是根本的不同意。看看lookout。
安全产品大多都是b2b,consumer未必知道,但这个B2b的创业公司被收购的机会大大高
于consumer product。
实际上大多VC更倾向于b2b的创业公司,austin本地的创业公司的majority是这个model。
。。
【在 c*****e 的大作中提到】
: startup 还不到需要 security engineer的阶段, 所以做安全的根本没发财的机会。。。
|
g*****g
发帖数: 34805 | 7 b2b风险小,回报也小。很难过100亿估值。
model。
【在 ET 的大作中提到】
: 做web app到未必需要security engineer,就是用现有的framework。 但问题是很多都
: 懒得用(或不知道)
: 做安全没发财的机会是根本的不同意。看看lookout。
: 安全产品大多都是b2b,consumer未必知道,但这个B2b的创业公司被收购的机会大大高
: 于consumer product。
: 实际上大多VC更倾向于b2b的创业公司,austin本地的创业公司的majority是这个model。
:
: 。。
|
c*******9
发帖数: 9032 | 8 搞这个性价比不高吧。有能力搞通这个,搞别的也能发财。我认识搞搞信息安全大多转
到别的领域。
【在 o**********e 的大作中提到】
: 不是身家的问题。
: 是性命的问题。
:
: 。。
|
c*******e
发帖数: 373 | 9 这个真是让我惊讶了
现在安全工程师、架构师,各个公司都在招,找不到。竟然有人转到别的领域去?
【在 c*******9 的大作中提到】
: 搞这个性价比不高吧。有能力搞通这个,搞别的也能发财。我认识搞搞信息安全大多转
: 到别的领域。
|
c*******e
发帖数: 373 | 10 刚刚成立的startup,肯定不会管安全的
但是到了3轮、4轮,张罗着上市了,就都会开始招安全人员的。airbnb、uber、各家大
小公司都在招聘呢
linkedin搜一搜 security engineer或者 security architect,熟悉的公司名字都会
出现的
。。
【在 c*****e 的大作中提到】
: startup 还不到需要 security engineer的阶段, 所以做安全的根本没发财的机会。。。
|
|
|
c*******9
发帖数: 9032 | 11 3轮、4轮拿不到多少股份吧。
【在 c*******e 的大作中提到】
: 刚刚成立的startup,肯定不会管安全的
: 但是到了3轮、4轮,张罗着上市了,就都会开始招安全人员的。airbnb、uber、各家大
: 小公司都在招聘呢
: linkedin搜一搜 security engineer或者 security architect,熟悉的公司名字都会
: 出现的
:
: 。。
|
c*******9
发帖数: 9032 | 12 各个公司找不到人,正说明这类技术要达到实用门槛高或者比较苦逼。
听一个朋友说搞这个太麻烦,道高一尺,魔高一丈。除非很有兴趣的才能搞下去。
【在 c*******e 的大作中提到】
: 这个真是让我惊讶了
: 现在安全工程师、架构师,各个公司都在招,找不到。竟然有人转到别的领域去?
|
c*******e
发帖数: 373 | 13 1. 找不到人,主要的原因是前些年大家很不够重视。所以人才没有积累。最近两年攻
击遍地,大家都恐慌了,突然要找大量的安全工程师,哪里有呢
2. 真要成安全专家,那确实不容易,需要时间和积累
但是现实中,大部分情况都是小半瓶醋忽悠平底子。那些招聘安全人员的公司,很多自
己面试时都拿不出像样的人来面试专业知识。
3. 魔高一丈这个说法,估计你朋友是在安全公司,做安全服务或者产品的吧?比如应
用防火墙、入侵检测什么的。这个整个方向我觉得是有问题的,因为它既不了解应用,
对攻击也是基于模式猜测为主,方向有问题,那么战术层面再怎么努力,也很难。
我主贴里提到过,安全公司都穷,待遇不会高的。所以建议去甲方
做应用级别的安全开发,防御技术思路其实反而很简单,因为自己的应用程序自己知道
,我不用考虑别人怎么攻击,只保证凡是非法的我一概拒绝。
应用安全的挑战在于如果降低成本,因为代码量太大,人工分析或者测试太低效,工具
又不够真的智能。
【在 c*******9 的大作中提到】
: 各个公司找不到人,正说明这类技术要达到实用门槛高或者比较苦逼。
: 听一个朋友说搞这个太麻烦,道高一尺,魔高一丈。除非很有兴趣的才能搞下去。
|
c*******e
发帖数: 373 | 14 以安全架构师的身份招过去,还是不错的
不给足了,人家在大公司也就不动了。不像开发人员,一抓一大把
【在 c*******9 的大作中提到】
: 3轮、4轮拿不到多少股份吧。
|
g*****g
发帖数: 34805 | 15 这种职位确实缺人,但给得也不高。FLG做个staff就可以秒了。
【在 c*******e 的大作中提到】
: 以安全架构师的身份招过去,还是不错的
: 不给足了,人家在大公司也就不动了。不像开发人员,一抓一大把
|
d******e
发帖数: 2265 | 16 这个fortify搞搞
基本上就是qa 的活吧
还惹人烦
【在 c*******e 的大作中提到】
: 以安全架构师的身份招过去,还是不错的
: 不给足了,人家在大公司也就不动了。不像开发人员,一抓一大把
|
c*******e
发帖数: 373 | 17 flg做staff的,可以忽略本帖
本帖针对普通码工,职业上上升有瓶颈,想寻找突破的
【在 g*****g 的大作中提到】
: 这种职位确实缺人,但给得也不高。FLG做个staff就可以秒了。
|
c*******e
发帖数: 373 | 18 那是初期吧,还不太懂的时候,只能从简单的搞起了
过个两三年,你就是半个专家了,哪里还需要搞什么fortify呢。
另外一个成熟的流程里,fortify都是开发们自己允许、解决问题。有困难才找到
security团队的
惹人烦的时候,那就要善于利用流程和管理的时候,叫老大们把基调定好,然后技术人
员再上去解决问题。
某个开发人员,你不想解决这个security bug,好啊,叫你manager来找你解决。我可
以没空给你废话。manager也爱理不理的?director/VP,你们怎么说?都不想解决?那
我回家睡觉去了。
【在 d******e 的大作中提到】
: 这个fortify搞搞
: 基本上就是qa 的活吧
: 还惹人烦
|
c*******e
发帖数: 373 | 19 想起来了,netflix从去年11月份吧,就开始招一个senior security engineer职位,
过了大半年吧,一直开着,我看上个月才close的
应该不是钱给的不够吧,netflix估计不缺钱,可能是一直找不到合适的
【在 g*****g 的大作中提到】
: 这种职位确实缺人,但给得也不高。FLG做个staff就可以秒了。
|
o**********e
发帖数: 18403 | 20 thanks!
希望多来原帖与LX 交流,
http://www.mitbbs.com/article_t/JobHunting/32988521.html
L上面有TIMLI 的华人事业互助会。
希望大家交流事业发展的TIPS,多
认识些朋友。 注意安全,建立信任,
发展社区。 |
|
|
s********k
发帖数: 6180 | 21 是不是专研这个花的大量时间精力,用在其它上面能比安全效果更好
【在 c*******e 的大作中提到】
: 那是初期吧,还不太懂的时候,只能从简单的搞起了
: 过个两三年,你就是半个专家了,哪里还需要搞什么fortify呢。
: 另外一个成熟的流程里,fortify都是开发们自己允许、解决问题。有困难才找到
: security团队的
: 惹人烦的时候,那就要善于利用流程和管理的时候,叫老大们把基调定好,然后技术人
: 员再上去解决问题。
: 某个开发人员,你不想解决这个security bug,好啊,叫你manager来找你解决。我可
: 以没空给你废话。manager也爱理不理的?director/VP,你们怎么说?都不想解决?那
: 我回家睡觉去了。
|
x****u
发帖数: 44466 | 22 信息安全和信息管理一样,属于非技术岗位,玩不过ppt流畅的三哥的。
【在 o**********e 的大作中提到】
: 【 以下文字转载自 Working 讨论区 】
: 发信人: onetiemyshoe (onetiemyshoe), 信区: Working
: 标 题: 建议马工们有机会多搞信息安全、安全开发方面的东西 (转载)
: 发信站: BBS 未名空间站 (Sun Jun 14 10:29:29 2015, 美东)
: 发信人: condorlee (condorlee), 信区: JobHunting
: 标 题: 建议马工们有机会多搞信息安全、安全开发方面的东西
: 发信站: BBS 未名空间站 (Sat Jun 13 17:08:45 2015, 美东)
: 不管是自己业余学,还是平时工作中有涉及到的,主动去学习、承担,或者公司内部成
: 立安全团队,愿意接受内部没有安全经验的人转岗,都要抓住机会,尤其是安全开发方
: 面。
|
c*******9
发帖数: 9032 | 23 不能快速demo给外行看的技术很难挣到钱的。管钱的几乎不懂技术。
【在 c*******e 的大作中提到】
: 1. 找不到人,主要的原因是前些年大家很不够重视。所以人才没有积累。最近两年攻
: 击遍地,大家都恐慌了,突然要找大量的安全工程师,哪里有呢
: 2. 真要成安全专家,那确实不容易,需要时间和积累
: 但是现实中,大部分情况都是小半瓶醋忽悠平底子。那些招聘安全人员的公司,很多自
: 己面试时都拿不出像样的人来面试专业知识。
: 3. 魔高一丈这个说法,估计你朋友是在安全公司,做安全服务或者产品的吧?比如应
: 用防火墙、入侵检测什么的。这个整个方向我觉得是有问题的,因为它既不了解应用,
: 对攻击也是基于模式猜测为主,方向有问题,那么战术层面再怎么努力,也很难。
: 我主贴里提到过,安全公司都穷,待遇不会高的。所以建议去甲方
: 做应用级别的安全开发,防御技术思路其实反而很简单,因为自己的应用程序自己知道
|
c*******e
发帖数: 373 | 24 信息安全是非技术职位?
不知道你说的是什么样的信息安全
安全这两个字,后面的含义太多了。运行个杀毒软件,装个防火墙,也可以自称是搞信
息安全的
【在 x****u 的大作中提到】
: 信息安全和信息管理一样,属于非技术岗位,玩不过ppt流畅的三哥的。
|
h******k
发帖数: 810 | 25 这些看着像QA的套路。好吧,PM有时候也这么干。
【在 c*******e 的大作中提到】
: 信息安全是非技术职位?
: 不知道你说的是什么样的信息安全
: 安全这两个字,后面的含义太多了。运行个杀毒软件,装个防火墙,也可以自称是搞信
: 息安全的
|
g*****g
发帖数: 34805 | 26 核心是要会用工具做 pentest,需要很多经验. 不用写太多代码。
【在 h******k 的大作中提到】
: 这些看着像QA的套路。好吧,PM有时候也这么干。
|
