阶段心得

1@ 前言

不知不觉已经工作快两年了，终于也拾回了我的 blog，写一些阶段性工作的感悟，以后偶尔拿出来看看自己的想法有没有随着时间再变化。

2@ 一些想法

2.1@ 横向看问题思维的建设

入职初期，熟悉业务，想要挖好多好多的洞来证明自己的安全技能是达标的，每挖一个漏洞都能兴奋一小会儿，就算是小小的越权也会精心写一篇漏洞文档去推修。慢慢的负责业务线安全后，每爆出一个漏洞会有点小慌，是不是需求 review，测试的时候漏水了，慢慢的不将眼光放在修复这一个 case 的特定漏洞，而是需要横向看业务线还有哪些类似问题，能不能通过架构层面的修复，机制方面的建设来将风险消除，或者是将风险捕获左移到上线前。举一反三的思考能力需要覆盖到每一次安全事件上，因为每次的小修小补肯定没有直接打一圈绷带来的踏实。

2.2@ 高效，完整的沟通

因为是支持业务线的安全，难免与业务同学接触，很多时候都没办法完全将精力投入在风险捕捉上边，以前不是很喜欢做一些无谓的沟通，但是工作使然，只能学着接受，并从中学习产品，研发同学的一些思考问题的优秀思路。当然低效沟通我仍然不喜欢，起码在开一个会之前，我会花一段时间：

• 理解需求的简单背景
• 问题需要解决面对的困难点，我自己能否解决？需要拉哪些相关同学协助解决
• 大概在脑子里先推演一遍自己预设的讨论过程，说服业务同学之前得先能说服自己。
• 如果会议推翻了自己的推演，拿结论修正一下自己的理解，下次遇到类似 case 可以复用「这里其实可以整理一个处理 case 集合，但是我觉得记在脑子里就好，用时搜索上下文定位问题，重要的是，每次会议都需要写一份会议记录，下次搜索的时候能很直观的看到结论，迅速回想起来」

2.3@ 学会记录 & 消除杂音

和上边提到的会议记录一样，其他业务场景最好也做好相关记录。记录的最大意义就是需要一些数据，一些文档支撑回答的时候，能迅速给人你确实深入思考和讨论过某个问题的印象，并且也能迅速把自己拉回，回忆讨论结论。记录还有好处就是可以将周报高效完成，可以阶段性跟踪 OKR。并且事情多了以后，每天并发处理的事情记录扔到 “四象限” 里，依次来处理。但是我没有坚持这么做，这是需要改进的点。

事情多了以后，我会先把重要会话置顶，解决以后，取消会话置顶，开启消息免打扰，只有艾特我才能看见，我看见有消息没处理就会很难受，必须日清，这样做可以让我专注在新会话上，已经处理的问题也可以收纳跟踪。但是不要一来消息就切断正在做的事，人不是机器，线程切换成本很大，消息定时清会比较好，重要的事情会加急你的(这点我也做的不太好，以后需要更加严格的遵守时间段清消息，避免重要事情专注时，频繁切换)。

2.4@ 攻防时间的投入

终于理解一些学长说下辈子不把安全当工作了，和工作挂钩的爱好，多多少少会变味，很难 100% 做到那么纯粹。疲于业务的事情，这段时间在攻防上投入的时间确实少了，这是立身之本，软技能固然重要，但是不忘初心也很重要。我喜欢在自己的节奏上学习，外界压力太大的话，会变得不舒服，新的一年，希望能保持持续学习的劲头，少一些无谓的时间浪费。每天进步一点点，给自己一个惊喜喜。

2.5@ 身体健康

忙起来真是抽不出时间去运动，不是物理上的抽不出时间，是心理上的抽不出来，回家就想躺着，一般周末才有劲头去游游泳，成胖猪了，不清真了。最近这段时间坚持跳绳，瘦肚子操，希望先把体型恢复到正常状态。周末偶尔要去找 10，我希望也能随身带着我的跳绳，养成运动的好习惯，精神状态也不一样，加油！偶尔也要捏捏脚 :p

3@ 总结

随便写点，今天谈绩效了，所以想说的有点多，记录一下，勤思考，勤记录，加油~