写篇杂谈。
我在工作上有许多陋习。
我开会时,除非我自己主持,不然从来不会带本子,一切都是用脑子记。
除了主持会议的人,我很反感开会带电脑来的人,这个态度就不对。带电脑开会的人大部分时间都在梦游。
有朋友给我取过一个外号,叫“道哥”,圈内朋友知道这个外号的也不少。获得这个外号的缘由是某天我在群戏言,已经把安全上升到了”道”的高度。
我的道是什么呢?我曾经还和好朋友们讲过另外一句话:
我的核心竞争力不是有多少0day,也不是会挖多少漏洞。我的核心竞争力是我对安全本质的理解。
我说这句话的时候,正处在转型期。从一个研究漏洞的黑客型研究人员,转变成一个结合公司业务,更关注解决方案的甲方安全研究人员。
我的道,总的来说,就是尽可能的照顾业务的需求,以非侵入性和低耦合的解决方案,去保证业务是安全的。
所以我经常说,没有不对的业务,只有不对的安全方案。
你要是用很粗暴的方案去解决问题,要么就是因为成本限制而妥协、要么是根本没想到更好的方案。在我工作的这几年中,极少遇到完全没有招的时候。所以大多数时候,作为一个称职的、资深的安全人员,你的责任不是解决问题,而是怎么把问题解决的漂亮、尽量不要干扰本来的业务。
我们不是要做盆景,不是要给小树塑性,矫枉过正;我们要做的是遮雨棚,小树该怎么长,还是怎么长。让产品在安全的呵护下正常的成长,才是安全的责任,也是我的道。
所以我不喜欢华为的代码管理之道,太不人性化。
我还有一个陋习,我不喜欢写文档。
我喜欢用原型法开发,而不是瀑布法。我属于实干者,我的做事风格是先做一个原型,可能很简陋,但是根据摸索,慢慢发展完善。曾经听说公司某个部门已经不再写需求文档了,都改成用口口相传的方式,据说是为了敏捷,甚是羡慕。
我的另外一个陋习,就是喜欢把事情藏在心里。我对很多产品的规划、对体系的规划,都藏在脑子里。但是因为资源等问题,我只会把目前可能做的说出来,写出来。
另外再谈谈产品的问题。我也不长篇大论了,就写几点心得。
首先,运营一个好的产品,一定是要舍得花心思做下去的。细节决定成败,真是一点都没错。互联网公司里产品做的最好的是哪两个?我认为一个是腾讯,一个是360。这两家的产品做的都非常细致,好用。他们的CEO都是经常听客服电话的人,对用户的需求追求到了极致。国外做的最好的是苹果。老乔对细节的追求到了苛刻的地步,连专卖店里灯光的照射角度都要亲自过问。
舍得花心思做,则要求一定负责到底,这必然是个PCDA的过程,不然产品很容易有娘生没娘养,再好的产品都会被败家子败掉。
舍得花心思做,也要求敏捷,反应快捷,才能应对瞬息万变的市场和需求。
第二是产品线的问题。最忌讳一些公司有点底子了,就开始乱作产品。啥都想做,胡乱做一气,产品线拉的巨长无比,最后死掉一大批。在我看来google也犯了这个错误,google wave就这么死了,类似的产品还有一大批。我相信只要是互联网公司都犯过这种错误。
但是,这还不是最可怕的。如果在产品线的扩张上,是有战略规划的,那也是可以的。比如大家都开始做微博了,我也做个微博产品作为战略防御,不求争霸,只求自保,这是为了公司的大目标服务的。
最可怕的,就是没有产品设计人员(PD)的参与,纯粹由工程师折腾的产品线。Gmail的成功是很难复制的。更多时候工程师由于只顾自己爽,只顾考虑用了多牛B的技术,而罔顾用户体验和细节,片面的看待产品的发展方向。这才是最最可怕的,资源浪费不说,还打击人的信心和成就感。
第三就是不要永远都在准备。我前面讲了我的做事方法是喜欢原型法。我喜欢先做简单东西的出来用。当有很多用户在抱怨这里不好,那里不好,我就会很开心,因为有了发展的方向。做产品非常忌讳蛇吞象。永远都在准备,就永远都准备不好。戴旭曾经指责中国的海军,永远都在准备,永远都不敢拉出去打打。在解放战争时期,人民军队永远都不是最优势,但永远都能打硬仗,不存在没准备好一说。做产品的道理是一样的,等啥都准备好了,也啥都歇菜了。
再谈谈创新,创新一定是需要土壤的。约束太多就会限制创新的发展。创新必然是从小而大的。没有第一朵星星之火,怎能成就燎原之势。所以太多的流程、规范、太多的要求,是会扼杀创新的。尤其忌讳把简单的事情搞复杂,自己把自己关到监狱里。
工程师的责任,是要在专业领域内提出自己的专业建议。所以管理层做决策的时候,最好是让工程师参与,至少也要做到透明。很多建议,工程师看的更远。而说服人的工作确实是一件很头疼的事情,因为在现实中,总是有很多看似冠冕堂皇的理由会成为阻碍,但工程师自己知道,虽然可能无法说服别人,但往往自己才是对的,时间会证明很多事情。
五年以来,我为公司改变了很多,也许我现在不能算一个纯正的技术人员了。我很多工作时间都花在了追杀别人的结果上。我关心结果,但并不喜欢每天求爷爷拜奶奶。我感兴趣的事情是去说“要怎么做”,和了解“做的怎么样了”,但是“你做没做”这个问题真的很bothering。
我也很怀疑如果工程师把大量精力花在“你做没做”这件事情上,那这还是不是一个纯粹的工程师。
最后,看到、听到很多人,在讲安全的道路会越走越窄,我也不展开讲了,就提下我对未来的判断,安全会大兴的三个领域:
云计算中的数据安全、掌上终端设备、物联网。
本文还暂无回复