當時,我隱隱地感覺到了網際網路公司安全,與傳統的網路安全、資訊保安技術的區別。就
如同開發者會遇到的挑戰一樣,有很多問題,不放到乙個海量使用者的環境下,是難以暴露出來
的。由於量變引起質變,所以管理10臺伺服器,和管理1萬台伺服器的方法肯定會有所區別;
同樣的,評估10名工程師的**安全,和評估1000名工程師的**安全,方法肯定也要有所
不同。網際網路公司安全還有一些鮮明的特色,比如注重使用者體驗、注重效能、注重產品發布時間,
因此傳統的安全方案在這樣的環境下可能完全行不通。這對安全工作提出了更高的要求和更大
的挑戰。
這些問題,使我感覺到,網際網路公司安全可能會成為一門新的學科,或者說應該把安全技
術變得更加工業化。可是我在書店中,卻發現安全類目的書,要麼是極為學術化的(一般人看
不懂)教科書,要麼就是極為娛樂化的(比如一些「黑客工具說明書」型別的書)說明書。極
少數能夠深入剖析安全技術原理的書,以我的經驗看來,在工業化的環境中也會存在各種各樣
的問題。
這些問題,也就促使我萌發了一種寫一本自己的書,分享多年來工作心得的想法。它將是
一本闡述安全技術在企業級應用中實踐的書,是一本大型網際網路公司的工程師能夠真正用得上
的安全參考書。因此張春雨先生一提到邀請我寫書的想法時,我沒有做過多的思考,就答應了
web是網際網路的核心,是未來雲計算和移動網際網路的最佳載體,因此web安全也是互聯
網公司安全業務中最重要的組成部分。我近年來的研究重心也在於此,因此將選題範圍定在了
web安全。但其實本書的很多思路並不侷限於web安全,而是可以放寬到整個網際網路安全的
方方面面之中。
掌握了以正確的思路去看待安全問題,在解決它們時,都將無往而不利。我在2023年的
時候,意識到了掌握這種正確思維方式的重要性,因此我告知好友:安全工程師的核心競爭力
不在於他能擁有多少個0day,掌握多少種安全技術,而是在於他對安全理解的深度,以及由
此引申的看待安全問題的角度和高度。我是如此想的,也是如此做的。
因此在本書中,我認為最可貴的不是那乙個個工業化的解決方案,而是在解決這些問題時,
背後的思考過程。我們不是要做乙個能夠解決問題的方案,而是要做乙個能夠「漂亮地」解決
問題的方案。這是每一名優秀的安全工程師所應有的追求。
----------------------《白帽子講web安全》
mysql牛人 MySQL牛人進
simplifieddisplay new infocard newcard card search infocard bannerurl title visual datalist scenecard txt page context simplifieddisplay new infocard ...
也談nginx的安全限制
一 nginx安全限制 前面已經詳細介紹了nginx負載均衡的配置以及nginx本身自帶的的一些安全措施,詳情請參考 生產環境下的負載均衡配置 隨著業務的增加,網路連線的流量越來越大,合理的控制訪問請求及連線數非常重要,否則仍會出現失去響應的情況。二 增加waf模組 ngx lua waf是乙個基於...
什麼是 牛人 ,怎麼成為 牛人 的討論
討論正在進行中,歡迎加入發表你的看法 我的個人觀點 什麼是 牛人 牛人專精某個領域,而不是某個單純技術。一類牛人過於專注技術,所以很低調,因為他不怎麼會表達 一類牛人擅長溝通和管理,他們不能太低調 一類半牛人,從技術轉管理,又是牛人.0.5 0.5 1 此類人不多。牛人不一定能把自己的東西傳授給別人...