我的安全视界观

回望：我的首个十年网安路

Mon, 09 Feb 2026 06:06:00 +0800

原创 aerfa21 2026-02-09 06:06 北京

时光荏苒~之前，看到很多人都感叹时间过得太快，这次轮到我了。这是我的首个十年工作总结，主要事件、主要作品及主要感悟，虽零散但是我世界中闪亮的星。

时光荏苒~

之前，看到很多人都感叹时间过得太快，这次轮到我了。24年的某一天，打开OA看自己的假期，意外发现即将有十天的年假，惊喜之余我渐渐陷入了沉思考：在过去的十余年中，

从上海毕业、就业，到杭州工作，再北漂到北京；
从恋爱走进婚姻殿堂，再到Iris上幼儿园升小学；
从内向含蓄性格，到公开演讲，再到复合型人格；
从23点睡觉六点起床，到24点睡觉六点起床，再到凌晨1点睡觉七点起床...

周围一切，都在悄无声息地发生着变化。不过值得庆幸的是，我从事的网络安全方向没有变，并且深深地热爱着它。一路走来，感觉自己强壮了不少，犹如：

1.在校找到兴趣点

时间线得拉到大二，学院新开设电子信息工程专业，面向全校理工科专业招收年级绩效top 10的学生。因为之前专业（电气工程及其自动化）不是自己选的，偶然间对网络很感兴趣，于是就趁机溜之大吉。又是一个偶然机会，上网看到绿色兵团的相关文章，又被网络安全所吸引，于是开始到wooyun和漏洞盒子上去学习、实践和赚赏金。

在学校期间，主要是打基础和挖漏洞，尤其是换专业后一度着迷网络、自己当时报校外班学到了CCNP（校外培训机构也挺好，不要排斥，可以帮忙打开视野）；在实习期间，有幸到上海交大信息安全学院学习和实践了Linux（现在想起来，还很感激）。

2.前五年积蓄力量

提到毕业后的五年，在我的脑海里立刻浮现出：重要阶段，认真沉淀。不知是出自哪儿的言论，前五年是黄金时间，将拉开与同学之间的差距，也是弯道超车的好机会。

现在回想起来，似乎是有一定道理的，因为那段时间我们还保持着学习的习惯、身体很好、精力旺盛，大概率没有组建家庭，亦不会受到太多干扰...所以，那段时间应该是专业和职业能力提升最大的，至于是否能够弯道超车，其实还要看机遇等因素。

2.1.初入职场，崇拜大佬学渗透

毕业之后也听从内心，在大佬光环的影响下，进入了Goodwell（绿色兵团创始人）相关的一家小公司，这里我见到了他本人，在团队老大的引荐下进入他办公室请教CTF题和渗透，当时超级激动。

从那时起，开始疯狂的学习和实战，一直干渗透、一直很爽。记得那时候带自己做的午餐，在吃饭的时候边吃边看渗透教程，因为在校期间基本上就是挖洞、没做过渗透，最关键是现在还有大佬指点。为了提升学校效率，我手写了好几个笔记本，坐我旁边的、一起入职的同事都震惊了。

在那里感到了同事之间的温暖，大家有说有笑、一起打项目、经常聚餐，以至于我对当时的领导、同事的名字和面貌都还能清晰记得。直到现在，偶尔还会和部门老板、领导保持联系，甚至在遇到问题时还去请教。

2.2.跳槽晋升，加入安服正规军

后来公司业务不行，感觉快干不下去了，就出去找工作。也是偶然一次机会，上海Topsec的杨总联系我，聊下来感觉他人挺好的，做的工作内容更丰富也很有趣，就成为了一名安服仔。

每天就是拿到目标后，自己安排时间做渗透测试，然后提交报告；期间会不定时的到客户现场做应急响应，一呆可能就得通宵，虽然很苦但年轻精力充沛，见识了很多网站被搞、然后上机取证、找漏洞复现、和客户沟通，也很有意思；那时刚兴起CTF，也曾陪着客户一起学CTF、做CTF题目，也十分有趣。这段时间也是渗透能力、应急响应思路提升比较快的阶段，80％都是技术活、干得很爽，但是接单式的渗透、应急、写报告，感觉干腻了。

后来估计是因为比较认真负责、且有意愿管理团队，就当上了技术部副经理。主要做一些“包工头”的事情，比如分发渗透任务、检查大家写的报告、发给客户并做一些必要的沟通，一起搞一些有难度的站点、在江浙沪周边做CTF培训。时间久了感觉又有点腻了，于是产生了思考：安全应该不止是被动状态？只是帮客户找到一些点状的病因、成就感不高，好像只是掀开了安全的面纱，但并没有看到全貌。

2.3.寻找价值，来到甲方找答案

带着疑惑，我开始投甲方的简历，有幸来到一家大型民营公司，并且在这里亲自经历了三次组织架构调整，或许也正是因为这三次轮岗，彻底解决了我内心的困惑。

支付公司，做安全测试：当时乙方普通安服岗转甲方比较有难度，通常对口的只有应用安全工程师。最开始面试是屡遭碰壁，因为对于开发安全（SDL）的理解仅停留在字面，在多家面试中都要求有相关实践经历，所以多以失败告终。退而求其次，找应用安全建设成熟度不高、但又有足够大的平台，一起参与建设。很高兴跑通了这个思路，并且初步尝试了较完整的SDL实践。团队中有前辈早点姐姐带着，她在华为产品线上做过测试、安全测试，对于这一套很熟悉，我也就专心跟着干了起来。主责搭建了自动化代码扫描体系，并做常态化运营；参与主要项目的安全评审，推动全网https改造；联动中间件部门做安全组件；组织做研发安全相关的各种培训...基本上把好做的部分、投入产出比高的内容，都做了一遍。
物流公司，做安全运维：后来公司组织架构调整，安全测试团队划到集团运维部门，逐步参与、并到最后负责基础安全建设。基本上也是从头开始做起，做资产管理、漏洞管理，边界上waf、ids，内部上数据库审计、堡垒机，并和devops同学做自动化，配合上级单位检查和做等保，做各类安全事件的应急响应。一切平稳之后，开始针对网络、主机、数据库三个层面，结合日常运维习惯，挖掘潜在安全隐患并总结梳理成专项整改项目。
大数据部门，安全专家：再后来组织架构又调整，这次到了大数据部门，可能当时是想让我们做业务数据的安全治理，但当时的部门领导刚到公司上任，在没有建立信任和对我们不够了解的情况下，其谨慎的态度与我精力充沛想干事相冲突，导致我总感觉被管着不让做新事情，时间久了就比较难受想着离开。

在快离开的时候，CTO找我聊了一次，大家还是有点不舍，但开弓没有回头箭，我就这样结束了第一次甲方安全建设之旅。至此，我已经有比较丰富的甲乙方各类工作的经验和眼见，对于下一份工作的期待也愈加清晰。

3.近六年深耕实践

2019.08来到北京，最初的定位是：这是一次进修学习的机会，希望能学有所成，甚至干出一番事业！在生活上，因为北京高等学府多、又是政治文化中心，可以深入感受首都的文化；在工作中，进入专业安全公司做内部安全，极具挑战性（不仅要面对外部威胁，内部还有好几千人会攻防、很多比我还擅长），不过在这个大平台上有很多事情值得深耕。

3.1.从0开始搭建开发安全体系到创新实践

初入公司担任产品安全负责人，负责公司所有安全产品和信息系统的安全，实际做的事情就是开发安全建设和运营。那时正处于团队新老替代的阶段，旧团队的骨干走了很多，我入职时应该有6-7人、校招生约对半开，工作内容主要是以上线前做安全测试和SRC运营收漏洞为主，团队人员能力主要是web安全和Android安全方向的安全测试、没有体系化建设的人。

好在公司很重视产品的自身安全性，提供了很多HC组建了最多有30来人的团队，于是我开始把在上一份工作中积累的《SDL最初实践》，开始结合安全产品的开发模式从零开始做起来，主要经历了四个阶段：

救火阶段：2019年-2020年，也就是从我入职那年开始，当时产品漏洞导致的事件比较多，没有体系化的建设，基本上就是发生事件就响应，然后举一反三排查、提炼或拔高为制度与规范；
0～1体系化阶段：2020年-2022年，我们进入了开发安全体系化建设时期，规范所有产品和信息系统在上线前必须进行安全提测，且通过安全团队验收才能上线，在漏洞扫描和渗透测试的基础上，新加入了白盒和灰盒安全测试，进一步提升了安全测试能力；

1～N自动化阶段：2023年-2024年，深入推进安全左移的步伐，从需求和设计阶段嵌入安全，联动公司级的架构师团队开展多级架构安全评审，同时自研了产品安全管理平台以支撑产线、安全等各角色人员的研发安全工作开展；
创新实践阶段：也是从24年开始，团队、平台、工具和人员趋于稳定，这些年依托于业界研发安全方法论或模型开展的正向建设进入瓶颈期，比如各类安全测试工具都有丰富的漏洞检测规则、各项检测覆盖率都很高，但从SRC或红蓝对抗仍旧发现产品的高危漏洞。于是借鉴网络安全运营的思路，深入研究和落地研发安全运营并取得很好的效果。经过2年的实践后，在业界首创提出“研发安全运营架构研究与实践”，并于2024年在信息安全研究上发表，同年在百度安全沙龙上进行了分享。

3.2.开创产品安全蓝军推进开发安全实战化

在建设研发安全过程中，除了在常见甲方出现的缺少资源、没有抓手等问题之外，最大的挑战就是：面对国家级攻防演习的实战检验。业内都清楚每年一度的大型活动，网安人的狂欢不止甲方，安全公司更是忙得团团转。活动期间，要是哪家的安全产品爆出有漏洞，那整个公司就会冲上热搜、成为行业焦点与话题，随之而来的就是公司最高级别的应急响应（相关办公室、安全团队、产品线、公关、品牌市场…）。

然而在边界突破时，攻击队最喜欢的边界（安全）产品，如VPN、零信任、防火墙…；在拿分时，堡垒机、EDR控制台、HIDS控制台这些又是首要目标；所以对于开发安全团队来说，实战化挑战极大，从历届经验来看常规的体系化安全难以招架得住。

得益于过去的渗透经验，在连续被打2次之后对团队做出了调整，以“走攻击队的路，让攻击队难走路”为思考路线，提出建设产品安全蓝军的概念，即：利用公司内部的白盒优势，对标实战化对抗，以攻破产品为目标，在内部开展全面的产品漏洞挖掘和利用工作。因其效果显著，至今被定为团队部门级别的年度指标。

3.3.轮岗统管企业级安全防护与运营一体化

开发安全的工作体系化稳定运转后，我的精力和时间又比较充裕了。正好部门骨干有些变动，部分安全防护的工作和人员划了我们团队，增加主要职责：

主机安全建设及运营：HIDS的覆盖率和检测率运营，当时也一起做了很多安全能力专项测试，比如webshell检测、基于hids做服务器上的弱口令扫描；
资产管理与漏洞管理：团队中有一个擅长开发、交付的综合能力很强的同事，当时把公司的主动资产扫描体系、代理IP扫描之类的给建设起来，后来我们又一起做了整个公司的漏洞治理工作，几年后还专门总结了一篇文章“奇安信漏洞治理实践”发表在安全内参上，并入选了年度的优秀作品。

这还只是刚开始，后来又遇到安全运营负责人离职，部门领导又让我去兼岗，大约持续了一年。从挖漏洞，到漏洞利用，再到检测漏洞利用、应急响应，网络安全的主要工作算是凑齐了。不过在此期间，我并没有参与到一线的检测规则编写、告警处置中，更多的是对这套运营体系的梳理、做规则流程的整理、应急响应及复盘模板的制定等。

现在回想，上一份工作中安全运营经历，再一次帮到了我过渡到安全运营管理工作上，并且此次算是深耕了。

3.4.重建内部安全蓝军到攻防实战得心应手

网络安全部的蓝军人数一直维持在5人左右（含组长），在负责运营之后，又给我加担子了，这次是兼管蓝军团队。不过在接手半年左右，蓝军组长因为薪资原因跳槽了，于是我不得不亲自下场（学习）。以往我有一些挖洞和渗透经验，但对于企业蓝军着实没有太多思路去做，于是就去请教诸如华为云蓝军、字节蓝军、京东蓝军之类已经做得不错的大佬，再结合团队以往的经验，我也慢慢地深入到团队的具体工作中：

攻防演练：团队BP中制定的是每季度一次，拿下靶标就获胜。自从接手以来，部门内部的人员配置符合攻防不对称的说法，部分攻击队的同学是安全运营转岗（对于安全检测规则比较清楚）、部分领域的同学是部门技术最好的（单项技术上形成吊打的优势）、再加上对内部资产的熟悉情况，基本上每次都能很好的完成任务。不过站在部门发展的角度考虑，我对团队期望和要求也在逐步提高，比如在攻击思路方面要不重样、结合最新的技术如AI基础设施做持久化后门、除了靶标还要打安全团队的系统如SOC（实战化验证驱动安全防护与运营）。
攻击模拟：最主要目的就是保持攻击技术的先进性，进而促进部门对安全的最新认识、提升整体防护水位。在安全公司的好处就是安全为主业，对外部安全事件、APT攻击手法可以获得较早的信息，也有很多安全数据、样本可以分析和模拟，比如从去年开始负责终端安全的同学除了模拟APT攻击手法外，还联动产品线对HW中的高级样本进行分析、提炼攻击手法，并在内部模拟输出威胁狩猎的检测规则。
BAS安全有效性验证：这块工作其实很早就接触（21年左右），但当时还没负责，只是配合做过一些场景化的攻击测试。直到24年把这个职责划到内部蓝军，我便开始体系化的设计（以边界安全、流量安全、主机安全和终端安全为主要的纵深防范措施）、推进整体验证及提升工作，通过覆盖率、检出率、拦截率等指标和图示，对部门总经理甚至更高级领导输出公司整体安全防护及运营态势，同时也输出整体防护工作中的盲区和缺陷。

回顾内部安全蓝军的成长历程，我比较想感叹的是：需要有专门的漏洞挖掘同学，否则对于一个已经有完善安全防护及运营的公司来说，是比较难发现问题的。此外，也顺道总结了团队的定位和职责，供需要的同行参考：

3.5.担纲超重大活动网络安全保障做核心岗

在经过多次国家级攻防演习保障后，我已经很熟悉担任指挥大厅值班经理的角色（往上就是副总指挥，再上就到了董事长），在值守期间进行公司级的资源调度、把控应急响应质量、接待外部客户领导并进行汇报等内容。

不过到了2022年，这是公司历程上的又一大事件，负责冬奥网络安全保障。我也非常有幸参加到项目中，虽然是以公司产品安全工作切入，但在整个保障活动中做了很多有意义的事：

组织内部产品漏挖：重保前，针对冬奥场馆使用的安全产品做黑白灰盒的漏洞挖掘，组织了公司代码安全实验室、技术研究院、A- Team、Z- Team组成五大安全团队一起对相关产品进行漏挖，共提交了5000余个漏洞，并要求产线全部修复，并沉淀了“基于三道防线的产品安全自查架构“。

现场做有效性验证：为了保证现场的产品没有已知漏洞、安全配置及安全能力，还专门组织了跨部门的团队进行有效性验证，验证现场产品的版本最新且已修复漏洞、验证产品加固措施如ACL已开启并生效、验证跨域名流量在监测中、验证知名C2框架可被检测等。
担任要职之首大后方：进入比赛阶段时我们转为保障值班，又和安服一把手在一块值班，组织公司内部所有产线和相关部门有序运行，随时应对突发的安全事件。期间，我们把各团队（赛场内外依据工作内容设置的团队、公司原本的内部组织部门）之间的工作职责、关系进行讨论、梳理，最终他画了一个很复杂超级大的脑图，让每个团队都串起来，让每个事件都有对应的团队承接。

非常荣幸参与到这么大的项目中，并贡献了自己浅显的专业知识和微薄的能力，也很感谢给我的职业生涯中留下浓厚的一笔，沉淀和提升了重大活动网络安全保障设计、组织、实施等方面的经验。

3.6.身份蜕变到进可上前线战场退可守后方

作为公司的服务型后台部门，本职工作就是做好产品安全和内部蓝军相关事情，但若前场（销售、售前等）同事需要，我们也会力所能及的去做一些支持，比如：客户高层拜访与交流、内部实践案例的分享、客户软件开发项目的评审等，所以我简称为：进可上前场，退可守后方家里。在公司的六年时间里，有两件事估计会毕生难忘：

被董事长钦点支持方院士：这是比较意外的一次，原本还倚在老家沙发上休息、准备1个小时后去机场，突然接到董事长的电话，让我去支持方院士的一项重大工作，原因是我对公司的网络安全非常了解、也就意味着对大型公司的网络安全比较熟悉。这一趟我算是半只脚踏入，看到了科研、学术的圈子，打开了我对院士、高校老师们的另一个认知。第一感觉是这帮人就是工作狂，甚至比我们上班还卷，比如方院士在飞机上、车上都一直在工作，项目期间其他老师也都会加班到凌晨、第二天六点过就起；第二是有一种亲切感，跟他们一起工作、打交道很舒服，好像回到了学校似的，方院士、老师们也愿意指点迷津；第三是从事学术的人也在做工业应用了，前后参与了两个项目，比如盾立方在多个国家级重保活动中都应用，并展现了不错的效果。
作为副军团长参与销售工作：大约是在23年初，公司营销体系设立了各个行业的副军团长，当时把我安排到了互联网军团。最开始拉了一个副军团长的群，进群一看其他人员都来自技术总体部的资深专家（也是面向客户的团队），当时心里有点虚。好在军团长很有耐心、再加上公司的培养，慢慢的找到了一些节奏，一起做战略和战役客户识别与分析、行业安全解决方案研讨、客户高层拜访、为销售牵线搭桥互联网客户、为销售站台做内部实践分享…逐渐对销售工作有了清晰的认识，对客户的网络安全建设状况和需求有了深入了解，对网络安全商业有了粗浅的认识。
重保期间向高级领导做汇报：在某年的国家级攻防演习期间，北京市委书记来公司参观，并计划让员工在值班现场做简短的汇报。当时董事长就问安服老板，谁的脑子转得快、比较灵活又很了解整个状况，他立即推荐了我。于是我就扛着压力，写好并核对好汇报内容，战战兢兢地坐到指挥大厅第一排，当董事长和总裁陪着书记走来时，我不禁手都略微有些颤抖，不过好在当站起来说话时便进入了状态，基本是按照预期完成了汇报，不辱使命。这段特殊的经历也给了我极大的信心，以后再给多大的领导汇报时我都不会再那么紧张。

4.十余年工作感悟

在平时工作和生活中，我喜欢并记录了很多点滴和思考。但在写总结时，却不知从中挑选哪些内容来分享？在多次斟酌之后，决定围绕以下三条线来展开：

4.1.工作中的一些经验

除了专业知识，我们还有很多能力需要去习得，才能应对并做好工作。如果要说工作中应该具备哪些好习惯或特质？那实在太多了，于是我按照抓重点的思路，凭着浅薄的经验对自己认可的内容进行排名，只取前三个拿出来分享：

做事主动有责任心：近一年我参与了大量面试，期间与HR聊天时，她说我喜欢主动的同学。的确如此，环顾周围发展比较好的同事，无论是校招应届生还是工作多年的老兵，均能得到领导的信任感。领导能够放心安排事情给他们独立负责，这份放心是来自他们从内到外的主动性，以及对质量和结果负责的态度。
项目是好学习方式：在工作后，我觉得最好的学习方式就来源于工作，说具体点就是做项目、尤其是大型项目。遇到不懂的就去学，deadline会催促着你；项目会提供稀缺的环境，这是自己所不能搭建、不会遇到的；在实战中积累经验，获得的是专家经验，AI目前也替代不了的。
多想多总结多分享：在做过之后，时间久了很可能就会忘掉，即使是当时再难忘，也对抗不过时间的冲刷。所以我一直在团队中提倡甚至强调，做完事情后一定要多思考、多总结，把外部知识、项目经验内化为自己的，是按照自己思路梳理和沉淀的知识。此外，有机会就勇敢地站起来做分享，无论是面向个人还是团队，讲出来才能巩固和算是真正的内化。

4.2.工作于生活的关系

从多年的感受来看，最好不要把工作和生活区分的泾渭分明，因为越干到最后、愈加发现有时是交织在一起的。不要想着平时不休息使劲干，等到下班或周末就不干而好好休息，这可能是比较理想的状态，不如每一天安排合理的工作和适当的休息。所以在我眼中，工作于生活的价值在于它俩就是人生的主旋律，不同阶段的比重不一样罢了。在现阶段，就应该爱工作（事业）多一点，比如我当时在杭州安好家后，因为工作关系带着家人北漂。在整个过程中，对家与家人的理解也更加深刻、深远：

抓住机会不要在乎base地：在决定北漂之前，我也十分纠结要不要离家那么远。但当发现有朋友、周围有同事，也是不远千里去异地工作，我就明白了当时什么最重要。其次，最主要的因素之二就是离不开家人的支持，这是能够北漂的底气，也是之后与我好朋友闲聊时、令他非常羡慕的点。
每个城市就是新生活方式：每个城市都其产业及城市印象，刚到一个城市最先做的就是找住处，像北京这样高房价的城市，对普通的外地人并不友好。每次到新城市或因为孩子上学，都要搬家都得折腾，心里难免有不稳定性。但时间久了、认知提升了，也就明白只要家里有粮就不慌、甚至掌握着自由选择的主动权，因此也就变得从容起来，慢慢的要走出家门去见识这个城市、感受并在这里好好的生活。
家人在哪里，家就在哪里：当时从杭州到北京，觉得很远，后来接触了不少人都在国外，才觉得国内也不远，飞机、高铁都很方便。所以再次觉得跟着工作走是对的，又有家人支持，那是极度的幸福。感谢父亲的牺牲独自在老家上班，感谢母亲一直跟着我们帮忙照顾Iris，感谢妻女给我的生活带来色彩斑斓...我的这些经历让我更加珍惜和你们一起生活，有你们在的地方就是家。每当我做好饭菜端上桌，我就习惯的不禁想要问你们味道怎么样；每当出去玩，大家一起在外面下馆子分享美食；每次有空闲时间一起运动...这些都是无比美好的回忆。在父母陪伴方面，我认可要干啥事儿需要赶早、别等；在子女教育方面，我也认可多陪伴一起做事。工作之余，慢下来与家人一起享受平淡的生活，就是一种最质朴的美好。

4.3.这一生活着的意义

有时候会喜欢看哲思类的书籍，但对于生命的意义还是始终参不透。最开始看到史铁生说“生命的意义不在于占有，而在于创造、爱与不屈的抗争，向死而生”，这是结合自身体验深深的感悟；后来周围有人生硬的说“活着，就是去为了寻找其意义”，这感觉是正确的废话和绕圈子；...见多之后，我理解到这是一个会有不同答案的问题。

在我的世界中，已经初步建立了对其的理解：生活的意义在于体验，经历从陌生到熟悉的过程，利用身边环境与资源充分发挥自己的潜能，然后去感悟、珍惜和享受它。

5.我的系列代表作

昨晚看到微信公众号创作回顾，已经在工作之余思考、总结安全建设9年了。仅25年就发表了61篇、参与互动546人、被2.5万次阅读，非常开心通过这种方式与同行分享和交流。

于是我打开电脑等到后台查看历史文章，在回顾过程中还依稀能够想起很多个挑灯夜战的场景、有不少网友的感谢及建议，一切都是那么值得。在看到有很多系列化的文章时，我突然来了灵感：为何不把这些散落的文章整合起来？方便更多的人看个过瘾，故有了这一章节的诞生：

5.1.SDL 100问

在《SDL100问》中，主要以个人工作中的所遇问题、解题思路、经验总结和“SDL专属交流群”中群友问答为主，内容涵盖从需求、设计到编码、测试及上线的全生命周期实践问题。探讨了SDL建设中的多个关键主题，包括威胁建模、开源组件治理、漏洞修复流程、安全工具误报率优化等，形成100个问答，旨在为同行提供参考和指导。

在做这件事儿之初，我曾在群里号召大家一起做，并得到几位群友的响应，本以为这是一条有战友一起走的路，却不料最终还是得靠自己独自完成。整个创作时间被拉长到了一年半（比预期每周三问、每月12篇的节奏，多花了近一倍的时间）。不过庆幸的是，依旧保持了最初规划的内容框架，对所有问题进行了分类、对每个问题进行打标，以至于现在可以清晰地统计出来：

5.2.SDL最初实践

这是我第一份甲方工作的纪实，详细介绍了推行安全开发生命周期（SDL）的最初实践过程，涵盖了从安全培训到安全响应的七大环节。文章以物流行业一家由传统转型互联网的公司为背景，阐述了如何通过内外部资源整合逐步实现SDL落地。重点内容包括：

针对不同人群设计安全培训体系，如安全意识、技术与制度宣贯；
在需求分析阶段提出基础安全需求并声明质量要求；
通过安全设计checklist和威胁建模减少产品设计中的安全隐患；
制定安全开发规范并通过代码审计系统把控代码质量；
结合自动化与人工测试进行安全测试，并管理漏洞闭环；
在发布审核阶段设置最终安全评审与绿色通道机制；
最后通过漏洞预警与应急响应保障上线后的产品安全。

整体内容强调SDL的持续优化与实际落地经验，为同行提供了宝贵的参考。

5.3.安全事件运营SOP

该系列详细介绍了企业安全事件运营的标准操作流程（SOP），覆盖了从安全事件定义、分级原则到具体场景的处置方法，明确安全事件分级的重要性，并提出了量化指标优先的原则。从实践之后的角度，总结提炼出常见安全事件的具体应对措施，如事件定义、快速响应、溯源取证、对外公关等。

最后，总结了防范网络攻击的有效手段，例如减少对外暴露面、系统上线前提测等。通过这些内容，希望为读者提供实用的安全事件处置参考，助力企业构建更加完善的安全防护体系。

5.4.多维视角下的实战攻防演习纪实

本系列文章深入探讨了大型实战攻防演习中的多维参与角色、公司级统筹布局及产品安全保障专项等内容。从安全公司到从业人员，再到具体的产品安全分工与应急响应方案，详细剖析了如何通过组织架构设计、资源分配调度和漏洞挖掘等手段提升整体安全性。

特别强调了在面对红队投毒、情报公司付费信息、互联网舆情传播等场景时的应急处置经验。此外，还分享了多个典型事件的分析与总结，如客户侧产品被攻陷、办公网出口地址误触蜜罐、SRC白帽子突破边界等案例，揭示了实战中技术能力与职业嗅觉的重要性。最终提出，演习不仅是对产品安全性的考验，更是团队协作、创新思维与行业视野的全面提升机会。这些内容为网络安全从业者提供了宝贵的参考与启发。

5.5.企业应急响应能力实战提升专项

本系列文章总结了企业内部开展的“应急响应实战能力提升计划”专项课题，旨在通过红蓝对抗演习提升团队成员的单兵作战能力。专项分为两期，分别模拟了从SQL注入到挖矿与权限维持、以及内网Linux与Windows横向漏洞攻击的场景。参与人员分为红队负责攻击模拟、蓝队负责应急响应，并通过报告形式进行考核和点评。

此外还详细记录了攻击链设计、靶场搭建、应急响应流程及纵深排查等环节。通过两次模拟，团队在应急响应思路上有了显著提升，但也暴露出对Linux系统操作不熟悉、持久化攻击分析困难等问题。总结指出，应急响应能力需要操作系统基础、日志分析、漏洞原理等多方面技能积累。最后，作者强调实战演练的重要性，建议常态化开展以促进能力发展。

5.6.深耕研发安全：从SDL到DevSecOps

本系列文章探讨了从SDL到DevSecOps的研发安全演进之路，分析了数字化转型中的痛点，如快速交付需求、技术多样化和基础设施不统一带来的挑战。文章指出漏洞是企业安全的重要入口，并强调在研发过程中尽早切入安全活动的重要性。

文章重点讨论了研发安全的关键要素，包括：组织架构、流程、规范和工具，并分享了DevSecOps实施的实践经验。最后，总结了安全工具的选择与自动化实现策略，为读者提供了全面的研发安全保障思路。（PS：该系列还没有结束，还在继续创作中，敬请期待~）

长按识别二维码，和我交流

More...

-- 深耕研发安全 --

-- SDL 100问 --

-- 软件供应链对抗探索 --

--------- 实战演习 ---------

--------- 安全运营 ---------

--------- 软件安全 ---------

--------- 企业安全 ---------

--------- 渗透测试 ---------

--------- 安全开发 ---------

--------- 个人体验 ---------

阅读原文

跳转微信打开

2026 校招，我看到了安全行业的 “新生战斗力”

Fri, 19 Dec 2025 06:06:00 +0800

原创 aerfa21 2025-12-19 06:06 浙江

2026校招面试，也许是因为这项工作占据了我很多时间，并且刚阶段性的落幕；或许还因为多年来我接触了很多毕业时能力参差不齐的校招生，对于他们的发展有一些观察与思考。

又到年终总结时，今晚（2025.12.16 22:23）挑灯回顾了今年的工作与生活，印象比较深刻、并且比较有意愿写下来，那便是：校招面试。也许是因为这项工作占据了我很多时间，并且刚阶段性的落幕；或许还因为多年来，我接触了很多毕业时、能力参差不齐的校招生，对于他们的发展有一些观察与思考。

先想要感谢我们的HRBP，这是我这几年合作中最给力的。早在今年6月中旬，我们就开始大力筛选简历、先于他人捞优质人选、预约面试，跨度6个月的不懈努力，以至于帮我们锁定了几位优秀的同学，为公司培养优秀人才做铺垫。从他们及其他候选人身上，我看到了：学历、主动、能力强。

01 学历

————

全称叫：卡学历。

无论是互联网大厂，还是安全公司，都在看学历、HR同学会严卡学历大关。在我们的候选人中，有几个同学算是比较典型的案例：

G同学从研一开始出校实习，先后经历了长亭安服红队岗、快手应用安全岗、美团安全蓝军岗、阿里反入侵红军岗，在准备从阿里实习转正审批途中，因为新上任了一位HR老板，因为学历问题就直接落选。然而，该同学在专业技能、学习能力、沟通表达方面均比较不错，也通过了我们的技术面。

R同学是四邮之一的研究生，同时参加我们安全攻防岗和某互联网大厂的面试，在校成绩中等水平，我在面试时专门问过其对于学校学科成绩的看法，其回答是：个人觉得在校学的内容很多用不上，所以心思不在上面，当到了攻击技术方面。如他所说，在专业技能方面确实不错。但比较令人意外的是，他竟然决定先不就业、想准备考研提升学历，之后进入大厂会更有优势。

S同学在本科时，投递过我司其他部门岗位（HRBP回忆并且影响非常深刻），此次又来投递安全攻防岗。但此时非常不同于彼时，他已经是硕士并且进行了针对性的学习和动手实战，研究生期间搞定老师、自己基本上都在外面实习，专业技能方面非常厉害，如今正在等字节的校招转正。

另外还有西邮的L同学、其他一般211的本科同学，专业技能方面其实也挺好的，但由于实习转正机会减少甚至没有、学历上PK不过其他同学，也从腾讯之类的公司败下阵来。

此处并不是想制造学历的焦虑感，而是想通过描述这几个鲜活的案例，分享：学习是有用的，会被HR当做是进入门槛。在当下，真的就是成为进入大、中、小厂的分水岭。

02 主动

————

今年我深刻的意识到人才的重要性，参与review了100多份简历、几十个二面，整体给我的感觉是：同学们的能力都很强。作为网安专业学子，都非常主动去打比赛、打护网、找实习，具体体现在：

学校主动，记得在23年去了一趟西安，在某高校参加活动。当时和一位网安学院的副院长聊天，他谦虚的说：学校老师深知在动手实践方面，教不了学生太多，所以很鼓励安全社团、学生走出学校去参加比赛，甚至在疫情期间、老师也带队去打攻防比赛。

同学则更主动，在收到的安全攻防候选人简历上，绝大多数都有各层次的护网红队经验，经过筛选出的简历、几乎都写带队或作为主力打过XX次攻防、获得了XXXX分，自己写过工具、可以绕安全产品的检测，有的还罗列出一串CVE或CNVD漏洞编号、一排排CTF等各类比赛的奖项。

相比较十几年前，当我还在学校时，周围的同学大多没那么主动，学校安排了产学研的实习单位，就安心去实习。只有少数同学泡在实验室，进而跟着老师参加比赛、做项目。

03 能力强

—————

前面两章节，或多或少都提到了同学们的准也能力强。在学校就知道通过参加CTF等比赛、安全社团、出去实习等积累实战经验。毫不夸张地说，基本入职熟悉下环境后，就能够上手开始工作。

记得某次杭州，找FEEI聊到人员招聘的事儿，他当时就说：现在的学生技术很好，就一般岗位来说，更愿意多招点应届生。这与我的感受是一样的，部门里4-5年前的应届生，有的现在已经能够独立负责某一领域了。

04 优质校招生的特质

——————————

在这漫长的招聘期间，我与HRBP聊了很多关于候选人的事儿、候选人的标准之类，我们都有自己的偏好：

HRBP眼中的优质特点：学历好、沟通表达好、有目标感；

作为用人部门，我眼中的优质特点：学习能力强、积极主动、基本功好。

05 给同学们一些建议

——————————

如果学校一般（双非本科）想进大厂，一定要先行动，争取早点去实习并做出成绩，留下来的可能性就会变大，即使因为学历被筛掉，也能找一个不错的公司，对自己只是有益而无害。

进入职场后，养成好习惯，比如不懂多问、谦虚请教他人、做完项目及时总结、主动思考自己的工作如何高质量完成等，也有可能实现超车。

长按识别二维码，和我交流

More...

-- 深耕研发安全 --

-- SDL 100问 --

-- 软件供应链对抗探索 --

--------- 实战演习 ---------

--------- 安全运营 ---------

--------- 软件安全 ---------

--------- 企业安全 ---------

--------- 渗透测试 ---------

--------- 安全开发 ---------

--------- 个人体验 ---------

阅读原文

跳转微信打开

SDL100问：阶段性的完结

Mon, 24 Nov 2025 06:06:00 +0800

原创 aerfa21 2025-11-24 06:06 浙江

截止2025国庆节前夕，SDL100问系列文章已经完结，也意味着SDL三部曲（SDL最初实践、SDL100问、SDL创新实践）已输出超过2/3。虽说时间比预期多花了1倍，不过好在顺利完成。一个阶段的结束，这对自己来说也是新的开始~

本文起草于23:29（2025年10月5日星期日），在连续休息几天后，终于憋不住，还是想要写点东西。那时那刻，我正在很久没有回过的老家，白天去了十几年没见过的亲戚家，一起过了中秋节、十分开心。不禁感叹：只有在老家，才会感受到浓浓的过节气氛、以及难能宝贵的亲情。

言归正传，那时翻出随时记录的灵感清单，还有很多主题没来得及开始写，其中一个便是《SDL100问》的完结，这是挂着很长时间的“心病”，那晚给文章开了头、搭好框架及随性的总结了些内容。本以为在十一假期能够完成，没想到又拖到了这个周末（2025年11月22日星期六），还是在陪Iris睡着后开始，并且迅速进入了心流、一鼓作气地完成。

01 最初设想

———————

犹如过去的一年半时间里（2024.03.06起，发布该系列的第一篇文章 - - SDL100问：我与SDL的故事），几乎都是在节假日或平时的22:00甚至更晚，开始《SDL100问》的写作，过程很苦（挤压休息、放弃锻炼身体、陪伴家人等时间），终于在国庆节前完成了第100篇。好在吃苦的过程，亦是自我成长的过程，最终也实现了最初设想：

沉淀软件开发安全方面的实战经验：在我的十余年网络安全工作中，大部分的时间都聚焦在软件安全领域，经历了渗透测试、安全服务、甲方安全建设、安全运营、软件安全、甲方红队等多个角色的积累，完成了多次SDL从0到1再到N的建设、引入反入侵安全运营的思想并创新地提出研发安全运营理念、推进SDL到DevSecOps迭代升级，最终将个人定位在该领域并期望成为真正的实战派专家，所以主动去积累和人解答自己或同行群友遇到的问题，也就有了该系列的诞生；
锻炼快速思考、总结及输出的能力：这一直是自己的短板，尤其是在公共场合的分享或圆桌会议中，针对主持人或嘉宾提出的问题回答得不够好，好几次都是在事后自我反思、其实可以做的更棒。于是，想到在SDL相关的100个问题中锤炼自己，针对每个问题设置1min的思考时间，然后就得写出来，终于在锻炼了近百次后，对这方面的应对更加熟练、满意和有信心；
验证自己过去养成的军人般的毅力：这是个人做事的底层逻辑或信条，只要是深思熟虑后确要做的事情，一定就要有雷打不动的精神去高质量完成；这是对过去养成的品质验证，亦是强化对未来能够做好更多事情的坚固基调。

02 内容总结

———————

在《SDL100问》中，主要以个人工作中的所遇问题、解题思路、经验总结和“SDL专属交流群”中群友问答为主。在做这件事儿之初，我曾在群里号召大家一起做，并得到几位群友的响应，本以为这是一条有战友一起走的路，却不料最终还是得靠自己独自完成。

由于平时工作比较繁重，且每年都会定时参与国家级攻防对抗等重大网络安全活动，整个创作时间被拉长到了一年半（比预期每周三问、每月12篇的节奏，多花了近一倍的时间）。

不过庆幸的是，依旧保持了最初规划的内容框架，对所有问题进行了分类、对每个问题进行打标，以至于现在可以清晰地统计出来：

以下是各阶段，相关问题的映射表：

2.1.立项阶段（1）

2.2.需求阶段（8）

2.3.设计阶段（10）

2.4.编码阶段（28）

2.5.测试阶段（5）

2.6.发布阶段（2）

2.7.运营阶段（8）

2.8.安全度量（4）

2.9.安全效能（2）

2.10.全生命周期（28）

2.11.资源分享（4）

03 免费分享

———————

为了方便同行查阅及使用，现已将《SDL100问》总结成册，把100个SDL相关问答合并到一个PDF文件中，可以关注公众号并发送消息：

我要SDL100问，获取下载地址。

由于作者本人经验有限及创作时间跨度长等因素，部分观点可能存在偏颇，甚至出现过时等情况。故，希望读者在发现问题或有建议时，主动与我交流指正。

04 付费使用

———————

如果需要可编辑的PPT版本，

可在文末扫码加我为好友、打赏199元，并截图发送于我。

我将在看到的第一时间打包发送，同时还可获得：

不低于30min的SDL、DevSecOps和开发安全运营“线上一对一”交流；


不限次数的相关问题解答、个人在软件安全领域的成长及发展建议等。

希望能够在工作或个人成长中提供力所能及的帮助！同时也想与大家达成君子协定：不要传播！指的是不把PPT版本发给其他任何人，仅限自己使用。原创不易，字字皆心血，版权归作者所有，谢绝未经授权的搬运、改编。

05 未来展望

———————

如果说《SDL最初实践》系列，是我对外分享的第一部软件安全相关作品，适合于之前未接触或未实践过的应用安全从业人员：

那么《SDL100问》系列，就是以“问和答”为结构的第二部作品，适用于已经开展软件安全工作并遇到问题，需要解题思路作为参考的同行：

期间穿插分享的《SDL创新实践》系列，即使尚未完结，但也算得上体系化输出的第三部作品，适合于想要或已经深耕的同行，尤其是对DevSecOps理念的落地践行有所帮助：

此外，我也在酝酿《SDL 2.0》和一种新的方式来继续分享，聚焦在软件安全及运营方面的理解，洞察并引入人工智能等新技术，如：新技术和业务场景中遇到的问题、解决思路、某些经典技术领域深入剖析...

长按识别二维码，和我交流

More...

-- 深耕研发安全 --

-- SDL 100问 --

-- 软件供应链对抗探索 --

--------- 实战演习 ---------

--------- 安全运营 ---------

--------- 软件安全 ---------

--------- 企业安全 ---------

--------- 渗透测试 ---------

--------- 安全开发 ---------

--------- 个人体验 ---------

阅读原文

跳转微信打开

SDL 100/100问：针对内部的高中低危漏洞，给业务部门多长时间修复？

Tue, 30 Sep 2025 06:06:00 +0800

在回顾该问题时，发现提问者并没有把问题定位得很清楚，导致在没有人追问的情况下，大家给出的应答也不具体。说它不清楚在于内部漏洞，在我看来至少有两个主要来源： 1、产品发布上线前各类安全测试发现的漏洞：这种情况其实有比较明确的修复要求，至少是要在系统发版前完成修复，如果做得更好的话，也可以制定明确的修复时间来推动业务方修复，但这个时间一定是要与发版时间相比较，把短的用来做deadline； 2、产品或内部资产运行状态下日常漏扫漏洞：这类漏洞主要是针对内部资产或外部互联网侧的应用，缺少明确的时间参考系，所以要制定修复时间，可以细分出优先级。比如互联网侧的信息系统修复时间要求比内网的短，高危漏洞比低危修复时限要求短，从执行来看互联网系统按照几天甚至几小时比较合适、内网系统按照几周或1个月比较合适。针对逾期修复的情况，可以在内部做红黑榜进行推动，可以设置安全风险分数（逾期修复天数*漏洞风险等级对应的权重*存在漏洞的资产重要性对应权重），然后按照部门进行风险分数计算并在全公司晒榜，以此激励大家修复漏洞。 ------------更多内容，请访问------------- 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？大家都有哪些SDL运营指标？开发安全左移和右移，哪一个更好？ SDL 99/100问：如何进行软件安全需求分析？ 2、SDL创新实践首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具数字化转型下研发安全痛点一个思考：安全测试驱动产品安全？ 3、SDL最初实践【SDL最初实践】开篇【SDL最初实践】安全培训【SDL最初实践】安全需求【SDL最初实践】安全设计【SDL最初实践】安全开发【SDL最初实践】安全测试【SDL最初实践】安全审核【SDL最初实践】安全响应 4、安全运营实践基于实践的安全事件简述安全事件运营SOP：钓鱼邮件安全事件运营SOP：网络攻击安全事件运营SOP：蜜罐告警安全事件运营SOP：webshell事件安全事件运营SOP：接收漏洞事件

SDL 99/100问：如何进行软件安全需求分析？

Sun, 28 Sep 2025 06:07:00 +0800

软件的安全需求是其自身安全性的源头，但往往由于客户没有足够的输入、对相关法律法规或行规不重视，所以可能做得并不好，对于不出海的产品、问题尤为突出。在SDL运营过程中，最普遍的矛盾就是：业务设计如此、不修复，但在安全看来很危险。若是产生这种矛盾，一般都是由于设计或需求没有考虑安全性导致的，改起来很麻烦，所以最开始提出安全需求并跟进落地是十分必要的。安全需求除了来自客户明确要求、法律法规、行业行规外，还可以结合公司的技术栈、常见安全问题来做要求，比如要求使用公司私有源中的开源组件、使用公司的开发框架进行开发、使用安全函数组件进行功能实现等。 ------------更多内容，请访问------------- 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？大家都有哪些SDL运营指标？开发安全左移和右移，哪一个更好？ SDL 97/100问：关于白盒测试，应该知道哪些正确观念？ SDL 98/100问：针对业务部门外采购的产品，要求做安全测试吗？ 2、SDL创新实践首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具数字化转型下研发安全痛点一个思考：安全测试驱动产品安全？ 3、SDL最初实践【SDL最初实践】开篇【SDL最初实践】安全培训【SDL最初实践】安全需求【SDL最初实践】安全设计【SDL最初实践】安全开发【SDL最初实践】安全测试【SDL最初实践】安全审核【SDL最初实践】安全响应 4、安全运营实践基于实践的安全事件简述安全事件运营SOP：钓鱼邮件安全事件运营SOP：网络攻击安全事件运营SOP：蜜罐告警安全事件运营SOP：webshell事件安全事件运营SOP：接收漏洞事件

SDL 98/100问：针对业务部门外采购的产品，要求做安全测试吗？

Fri, 26 Sep 2025 06:07:00 +0800

对于自研产品安全做得好的公司，外购软件的安全性成为木桶中最短的板，通常会要求供应商做安全测试，并且已经有了比较成熟的做法： 1、上线前安全测试：指针对外购的业务系统进行安全测试，把发现的漏洞同步给供应商，甚至还会被供应商索要修复漏洞所消耗的人天费用； 2、交付时安全检查：属于安全左移的第一步，要求供应商提交所售产品的安全测试报告、代码审计报告、开源组件清单、对外开放端口矩阵等，供采购方安全团队审核，并把检查结论做为上线前是否符合安全测试的门槛，不符合就不做安全测试、就不能上线； 3、立项时安全要求：上面的内容还是有点被动，源头在业务部门提交需求给采购部门时，应该把安全相关的要求放进去，比如安全要有技术评标权利、供应商具备一定的安全资质、后续发现漏洞需要设置响应时效、说明费用等。目前国内已经有一个大趋势：针对供应商产品的安全，已经从结果扩展到过程、供应商自身的安全建设能力。除了要求供应商提供产品安全相关的材料，还要求提供执行结果的内部流程体系及机制，比如是否建立了专门的产品安全团队、是否有安全测试工具链等。 ------------更多内容，请访问------------- 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？大家都有哪些SDL运营指标？开发安全左移和右移，哪一个更好？ SDL 97/100问：关于白盒测试，应该知道哪些正确观念？ 2、SDL创新实践首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具数字化转型下研发安全痛点一个思考：安全测试驱动产品安全？ 3、SDL最初实践【SDL最初实践】开篇【SDL最初实践】安全培训【SDL最初实践】安全需求【SDL最初实践】安全设计【SDL最初实践】安全开发【SDL最初实践】安全测试【SDL最初实践】安全审核【SDL最初实践】安全响应 4、安全运营实践基于实践的安全事件简述安全事件运营SOP：钓鱼邮件安全事件运营SOP：网络攻击安全事件运营SOP：蜜罐告警安全事件运营SOP：webshell事件安全事件运营SOP：接收漏洞事件