今天是2021年的最後一天,明天就是新的一年2022年,今天在這裡寫下我的年度總結
年度總結好久沒寫了,整整兩年沒寫. 我的部落格記錄了2017年和2018年的年度總結和反思,2019年和2020年我都沒有寫.
2019-2020
我已經不太記得為啥我沒寫2019年年度總結了,可能是我懶了吧.我只想說我記得事情,2019和2020年,我收穫了很多,我離開了舒適圈,跳槽去了乙方某實驗室做hw和安全研究的工作,這一整年裡我都很忙碌,我忙著做各種hw專案,專案很多很多,在專案中積累學習到了很多經驗,在有壓力的環境下,學習進步是很快速的,同時我在實驗室內收穫了很多的友情,這些對我來說非常寶貴,我們都知道職場一個通例,就是你的同事不能是朋友,我很幸運,實驗室的同事都是最好的朋友,即使是我後面離職了,仍然和他們保持一定的聯絡. 每個同事都有他們的特點和技術擅長點,從他們身上總是能學到很多很多.我過的很充實很滿足,雖然那時候薪資待遇都不是很高,但是很真實,身邊一堆朋友,那種感覺好棒,我珍惜友情,我珍惜所有的美好.
2021
2021年,我又因為其他原因離職了,去了一家甲方安全公司.我從複雜有壓力的環境脫離出來,我開啟了新的一輪救贖. 這裡我要感謝我的那些朋友們,我想說無論走多遠,以後如何,我們還是朋友,只因為你幫助過我,只因為一切都是值得,不在言語中. 甲方的工作和乙方是截然不同的,在甲方工作的內容不會那麼單一簡單,可能以前在乙方就是hw攻擊,不會接觸到應急響應等工作,去了甲方以後,發現很多工作模式在甲方是行不通的,我需要思想轉變. 首先是乙方安服和實驗室偏向於以挖0day,hw重大成果為導向,hw排名成績等,而甲方呢,更多的是解決問題,我記得我剛入職那會,挖了非常多非常多的漏洞,可是我沒有想過去修復漏洞,我喜歡挖漏洞,我不喜歡編寫報告,我也不喜歡修復漏洞. 因為我不喜歡寫這些報告浪費時間,也不喜歡把每天寶貴的時間用在溝通解決問題上,我希望我的每一天都在知識的海洋的翱翔,我希望把更多的時間留給漏洞挖掘,留給漏洞分析上去,至此我在甲方工作中,可以說非常不平坦,這一年我犯了很多小錯誤,這裡我會說出一些關鍵要點,適用於甲方和乙方.
技術和工作:
今年最大的改變之一就是我對技術的改觀,以前覺得誰誰誰很牛逼,xxx好牛逼啊,會有這種感慨,直到現在工作了三四年後發現,其實大家都是人,一個腦袋,兩隻手.別人可以的,我也可以,我現在不可以,不代表我以後不可以,總有一天我能看懂,看透這些技術細節點. 所有技術存在的目的就是為了去解決問題,正如美團技術官方文件所說,真正的高手,一定是能夠解決掉企業問題,解決工作中的實際問題呢. 那麼技術也是一樣的,通過技術手段,可以是通過程式語言實現需求,也可以通過別的手段,只要最後解決問題了,就是牛逼. 工作技術皆如此,我們常說學以致用,現在在企業中,尤其在工作中我們要改變觀點,要用以致學,當你在工作中要用到什麼技術的時候,你再去學他,你需要什麼,就去索取,再去拿,可能學習效率更高.我記得我今年用golang寫了一個埠巡檢工具,我是一點都不會golang,當時就是在公司利用時間學習,看一點資料就寫一點.
到後面發現最難的其實不是一門程式語言,而是思維,你的思路是否清晰,其實思路清晰了,程式碼就是邏輯問題了,一定要保持思路清晰,畫腦圖,畫設計圖:
附一張以前寫程式碼畫的思維圖:
不管是寫程式碼,還是做別的其他事情,一定要有較為清晰的思路,不要糊塗的做,不要盲目的寫,這樣很容易陷入一個僵局,我經歷過,我特別懂那種感受,以前寫程式碼真的特別差,就是因為沒有思路,有了思路,再去學習下程式語言基礎語法,就可以上手幹活了,有了思路,即使前路很難,很迷茫,也可以照亮你一直前行.
職場責任
這裡我想非常著重強調下責任,這裡討論的是職場責任心. 其實在職場上工作這些年,發現具備職場責任心,責任感的人是少見的. 我也是個缺乏責任感的人,我以前沒有意識到我缺乏,直到我去新的甲方單位,我的領導找我談話,我才理解了什麼是職場責任. 就說個比較普遍的例子吧,某員工上班天天划水,績效還是優秀,甚至升職加薪? 這是為什麼呢? 而自己,辛辛苦苦一年,幹那麼多活,反而沒有被漲薪,反而績效很低 明明自己的技術能力比其他同學更強,為什麼我沒有漲薪?績效也很差. 拋開你和領導關係好除外,最大的原因就是職場責任心了. 就以我為例子吧,我在甲方單位挖了很多安全漏洞,有些漏洞很嚴重,很高危,我很激動,我覺得我可能可以得到領導賞識. 很多時候個人所想象的美好,總是和現實差別不是一點半點,可以說是一個天堂一個地獄. 挖到安全漏洞只是完成這個工作的三分之一,剩下的兩個三分之一是什麼? 推動漏洞修復,漏洞複測形成閉環. 這樣才算是比較好的完成工作. 所以很多時候工作中你以為你工作完成了80分,其實你只有30分,其實這就是典型的缺乏職場責任心的表現. 漏洞挖掘如此,其他行業工種也是如此,你做事是否真的做到有頭有尾,有始有終. 你對待事情是否上心用心了,你是否把這件事情當作是自己的心事去幹,還是敷衍下了事?這些,非常值得我們去思考 有時候把一件事情幹漂亮,比干十件事情更有用! 質量上去了,才是數量
量化和彙報:
不管是甲方還是乙方,可能每週,每個月都要彙報每週每月的工作結果,工作進度. 年底了,要寫年終總結,這些都是我們在工作中必須要面對的
這裡想聊下量化和彙報的重要性,它決定了你在新的一年裡能否升職和加薪,全靠它,寫好一份年底彙報,每週,每季度良好的工作總結,是你升職加薪的關鍵
我還是以漏洞挖掘為例子,當你具備了職場責任,那麼一定會用心,有頭有尾的做事情,其實有這些還不夠,還需要學會統計. 我以前特別看不上折騰excel,word,ppt的人,我覺得他們只是文件工程師,好吧,我知道我錯了,我是小丑. excel文件,可以很好的幫你彙總你每週,每個月,一整年做了哪些工作, 我知道現在還有很多優秀的統計工作內容的軟體,可是對我來說,excel就夠了,後續如果還有好的,我會考慮.
在甲方我學到了的另一個很重要的點就是量化,你要把你的乾的活記錄下來,形成一份檔案,它真的很重要,就像現在你發現大部分的開發去開發一個新的工程,都有日誌功能,記錄你的工作內容很有必要,記錄你的工作產出很重要.
為什麼我們要記錄我們在公司中做的點點滴滴,因為我們的彙報物件變了. 決定你漲薪,升職的,一定是高管,沒意外的話. 有些領導和你不是一個專業,你一沒工作量化的資料,也沒產出的總和,那麼你怎麼解釋給領導們聽?領導們怎麼和高管反饋你的工作內容?靠你的臉嗎?靠你認識高管? 不可能吧朋友們 而且量化工作資料內容,在領導眼裡就是你對工作負責的態度
其實量化資料,記錄一部分原因是為了升職加薪,其實還有個原因,那就是防止其他人"挑戰你",記錄下來幹了什麼活,有哪些產出,是你在職場生存的祕訣. 我們來假設一個場景,你的領導的領導看你的彙報,你彙報內容寫了今年挖了500個安全漏洞,然後領導說那你把500份漏洞彙總發我看下,這時候如果你沒量化,而是隨便編的,這時候很難圓吧,我相信大多數人都是老實人,誠實的人,撒謊今天圓過去了,總有一天會露餡,在職場上混不下去,所以彙報的時候我們要實事求是,我們要量化資料,記錄資料,防止其他部門的人來挑戰你,噁心你的時候拿來用,讓噴子們閉嘴! 如果你做到了量化,回報的很好,仍然被開除了,那麼也無怨無悔了,因為我覺得你對得起公司,對得起自己,我想說你應該無愧於心,反之如果你的工作就是敷衍不上心,年度彙報也都是假資料,那麼你被開了,我覺得是自己對不起自己.
硬實力和軟技術
在職場上,即使是今天,我的觀點還是做漏洞分析,做漏洞挖掘很酷,因為我做過,我不是很喜歡人情往來,我喜歡都討論技術的氛圍,我想在知識的海洋裡翱翔,除了自身的專業技能外,軟技術也很重要,什麼是軟技術? 同事之間的溝通,跨部門的溝通,這些就是軟技術.在甲方,你挖到漏洞,你開發一個專案,不可避免的要去和產品經理,別的業務owner對線交接,難免會有幾個刺頭不配合,這個很正常. 公司大了,什麼人都有,總會遇到不配合你的人,這時候其實特別考驗你的軟技能. 你怎麼能在職場溝通中把問題解決掉了,還能讓他各個部門都對你笑嘻嘻,對你還保持友好. 我以前在工作中從沒想過這些,因為沒在那住環境下,今年我就見識到了,我的領導就可以做到,他可以很好的權衡好和其他人的關係,說實話,他的專業技能可能沒有那麼好,但是他憑這一點,就可以在職場下一直走下去,因為人家為人處事很通達,情商高.在職場上,有話語權,別人認識你,並且對你有好感,是很自豪的事情,說明大家願意和你做事,這塊軟技能我覺得對我來說,需要持續學習,持續努力,我的思路是多看一些書吧,多經歷一些事情
狡辯和心態
辯解是很常見的,例如你的leader找你談話,說小王啊,你最近工作不上心啊,說一些話打擊你. 這時候你應該怎麼做? 我經歷過,我當時的狀態就是瘋狂辯解,後來想想,我不應該辯解.人都是習慣性為自己狡辯的,大多數人是放不下面子的,也不願意承認自己錯誤的. 一個人的狡辯,就是他最無能的表現,2021年我承認自己的無能,我狡辯了,我狡辯了好多次,現在我回頭看這些.不管是領導別有用心說我,還是什麼原因,他說這些,我聽著不辯解,自己反思反省,如果他說的對,那麼說明我還有很多提升的空間. 如果你嚴格按照前面的職場責任心,量化流程走,你的領導仍然無厘頭給你安個理由說你,這時候怎麼做,不要我教大家了吧? 時刻準備開溜! 我很幸運,我的領導不是一個那種人,後面細細品味,覺得領導有些地方說的都挺對的,他畢竟大我10多歲,職場閱歷比我長很多很多,今天我低頭,不狡辯,不代表我認輸了,狡辯不過你,而是我希望我以後越來越好.
說完了狡辯就是心態了. 職場上,不要有玻璃心.玻璃心難受的是自己.我想到了一件事情,我印象很深刻,在過去,我被領導批評說工作的某些地方沒做好,我很委屈,我心裡在想憑什麼?我會陷入一種很不好的狀態,就是拒絕和身邊的人溝通,其實這一刻,在職場上你已經輸了,你不是被領導打敗,而是被你自己打敗,你的心態崩了,你輸給了自己.男孩子,尤其是男人,一定要坦然,他說任他說,我做好我自己的工作,無愧於心,就可以了. 男人立於天地,對得起公司,對得起自己就可以了! 晚上睡好覺,別想太多,這是作為一個男人最基本的要求,胸懷天下,常有一句話叫臉皮厚,則天下無敵,我現在覺得的確如此,這句話一點錯沒有
什麼是重要的事情?
我們常常說,我們要分清楚主次關係,重要的事情優先做,提前做,不怎麼重要的事情放到後面再去做,那麼在職場上什麼是重要的事情呢?其實這個也很重要,很多同學不理解什麼是重要的事情.
有時候領導佈置的工作內容是涉及不到什麼技術的,技術含量不是很高,其實作為技術人是不太願意做的,常常敷衍了事,因為對我來說最重要的就是漏洞挖掘和漏洞分析,我很痴迷他們,但是漏洞挖掘和漏洞分析有時候並不是領導佈置的工作,說難聽點,在職場上你挖的0day再牛逼,也沒用! 為啥呢? 領導安排A工作,你去幹別的事情,這就是非常典型的錯誤! 這時候應該停下你挖漏洞的心思,好好地去做A工作,做好了交接完了,你手頭沒啥事了,再去做你熱愛的事情,永遠牢記一定是先完成領導佈置的工作,然後才是做熱愛的事情,我們生在這個時代是可悲的,我們不能一直在做自己想做的事情,你的念頭不會允許你為所欲為,太多的環境會限制你!
我簡單說下工作重要性優先順序:領導的領導的事情->直屬領導佈置的事情->有閒工夫最後才是自己熱愛的事情
這很無奈是嗎朋友,其實不然,因為公司給你付錢了,你有義務和責任做好當下工作,那麼領導佈置的工作,正是你需要完成的,收起你的學習慾望,如果真的對學習慾望那麼強烈,完全可以下班回去學習!
漏洞挖掘和漏洞分析:
漏洞挖掘和漏洞分析是和自己緊密有關的東西.其實這兩年,大家會發現一件事情,漏洞越來越難挖了,很多常規漏洞幾乎絕跡了,比如sql注入,xxe等,使用優秀的開源框架開發,可以杜絕很多漏洞,可能現在最多的漏洞就是邏輯漏洞了,不得不說,這極大的拉高了安全的門檻,對安全從業者來說,不是特別友好,但是我覺得是好事! 漏洞少,往往說明了我們的網站越來越安全,從安全這個整體來看,我是開心的,我覺得個人得失,真的不算什麼,安全需要提高技術門檻.雖然現在常規的安全漏洞很少了,但是安全就是如此的玄妙,他總是給你帶來奇蹟!想想log4j?是不是又覺得安全又能活好幾年了哈哈哈哈! 始終牢記,永遠沒有絕對的安全,今天傳統漏洞的消失,一定是要面臨更多的安全挑戰! 作為安全從業者,時刻保持居安思危,新技術要學習,老技術也要兼顧,未來一定是安全百花齊放的時代,不管怎麼發展,利用業餘時間多學習技術,一定是對的,這是百無一害的事情,保持學習,向p師傅看齊!
一路走來,願我始終擁抱熱愛,因為熱愛所以學習,2022年繼續努力吧,紅色標註的很多東西,需要我慢慢感悟,他將會陪伴我職場生涯,伴隨我走很遠很遠!希望來年技術更新越來越多!祝身邊的朋友身體安康,闔家歡樂!