LZ 算是应届。投的某公司 C++开发,后来转到安全开发的部门,说主要是做安全工具这些。
我以前没考虑过安全相关的工作,主要希望能做用户规模比较大的后台开发。目前也不清楚所谓安全工具开发是什么样的。
但是这个公司在安全领域据说很强,主要做网络基础设施。也有学长告诉我工作前两年开发各个方向需要学的基础都差不多,先学好基础。
另外也可能去一个小公司做后台,工作环境就很难说了。
主要想请教各位安全开发对工程能力的锻炼怎么样?因为有人说做安全很容易成为脚本小子没什么开发能力,我想如果是做工具的话是不是会好些? 搞这个是不是一个好机会学习系统层面知识的机会?如果去了以后觉得不喜欢,还是要考虑转方向的成本了。
1
hujianxin 2019-03-17 15:33:35 +08:00
听说做安全的是程序员中最赚钱的方向之一?没求证过
|
3
Greenm 2019-03-17 16:19:44 +08:00 via iPhone
安全开发更多的是培养安全相关的知识,需要工程能力,但是培养的话不好说,看具体项目。
如果考虑往安全方向转的话,还是可以考虑的,钱不少,当然兴趣更重要。 |
4
busfool 2019-03-17 16:29:49 +08:00 via Android
感觉听的比较少,就业面应该相对前端后端移动端嵌入式这些窄
|
5
tcdh 2019-03-17 17:03:08 +08:00
我做了两年 linux 平台的安全开发(基于 netfilter 的防火墙),主要是写内核模块+小部分脚本。对 OS,网络,linux 系统都要求比较了解,也学习到了很多东西。但是我不是特别清楚安全工具开发是什么意思..我们用的现成工具都是开源的,可能是大公司独有吧。这行需要注意的是转行选择的机会相对窄一些,可能 c++服务器开发共同点多一些,其他感觉都一般。另外真没觉得有多赚钱。
|
6
udev 2019-03-17 17:11:10 +08:00
非常好,关键得是:懂安全的开发,否则安全跟其他业务没什么本质区别,像一般主动产品以及防御产品必须有安全功底,要是那种聚合类的什么态势平台 /SOC 平台基本就是搭积木,跟安全本身没太大关系,现在我们安全行业最大的难点就是,招不到懂安全或者说了解安全的人做安全开发~:(
|
7
dabang007 2019-03-17 17:22:50 +08:00
确实不错,我也在往这个方向转
|
8
davie 2019-03-18 00:20:09 +08:00 via Android
啥公司啊?
|
9
Cloutain 2019-03-18 10:00:32 +08:00
安全行业早过了风口浪尖的时候,14 年时你入行干 说不定能捞不少钱,如今也就那样。 当然 任何行业只要认真研究,都能有好的收获
|
11
PikuYoake 2019-03-18 10:44:11 +08:00
目前安全从业(甲方渗透方向),正在努力转向安全开发。
从目前形势来看甲方安全最后势必会转向安全开发,大量内部渗透都被乙方承包(术业有专攻),留给甲方只有运维和开发俩种方向。所以,你懂的。。。。 还有就是(不知道是不是只有 我司是这样)安全人员挖到洞,不算 kpi。。。只有代码才算。。。。所以你懂的,不想领导一言堂,就只能尽力写代码。 目前了解到的,拼夕夕和头条、商汤这几家全面招安全开发了(确认拼多多只招安全开发) |
13
sunriz OP @PikuYoake 感谢前辈。请问安全开发技术通用性强吗,我其实本身对安全不感兴趣,对开发更有兴趣。如果去做了安全开发,以后转服务器后台成本高吗。找个小一些的公司直接做服务器,和去这个中等规模的公司(体制什么的更完善),哪个更好呢(实际上目前这个公司工资也不高)。
|
14
sunriz OP @tcdh 请问前辈,如果像我对服务器更感兴趣,要不要直接选择去一个更小的公司做服务器呢。目前主要看中这个安全公司的环境和制度什么的,我猜测可能会对刚入行的我有些影响。
|
15
GeruzoniAnsasu 2019-03-18 11:03:13 +08:00
看要做什么东西了
要做成能卖的成熟产品,无论哪个模块都是几十万行级的代码,就算只写 C++,也能涉及到各种复杂的数据结构、数据库、异步,甚至各种网络协议 你要是觉得给 Nginx 写插件或者写 dpdk 网络驱动不能锻炼工程能力的话,那建议培训班三个月速成出来搞微信小程序 |
16
GeruzoniAnsasu 2019-03-18 11:15:45 +08:00
我可以大概说说我司现在的产品 c++都做了啥
* 一个可以处理上下文相关语法的自动机生成器 * 为攻击检测研发的一系列微型编译器前端,用来 parse 各种语言下( php sql js java 等)攻击 payload 的语法 * 流量镜像驱动 * 日志统计数据库中间件 * ngnix 流量转发的插件 * 一套集成了自动检测、ACL、自定义规则拦截等各种功能的引擎 当然以上有些部分是纯 C 的,还有些是混了 golang 什么东西重构的,但都是熟悉 c++能直接上手的子项目 |
17
Greenm 2019-03-18 11:24:05 +08:00
@PikuYoake #11 这里我想提一下我见识到的不一样的情况。
我主要是做红队方向,但是也在甲方待过,也有一些了解。 中小公司确实和你说的差不多,大公司的话是有专门的红蓝对抗部门的,而且 KPI 就是挖洞和拿权限,因为不是所有的内网环境都放心让乙方进去一顿乱搞的,据我所知华为 360 腾讯都有这种岗位。 另外甲方也有一些其他方向的安全岗,数据分析,威胁溯源,应急响应等等,非技术向的甚至还有合规,培训之类的岗位,方向很多,当然这些岗位一般都比较高级坑也一般仅局限在巨头公司。 |
18
PikuYoake 2019-03-18 12:56:11 +08:00
|
19
wangkai0351 2019-03-18 14:16:18 +08:00
不太懂安全开发, 我去年校招时投了各种乙方公司的安全研究员岗位,虽然 offer 很多,但是都放弃了。
在这些安全乙方公司,安全开发应该是负责产品开发的核心业务逻辑模块,较多地和操作系统、数据库、网络这些底层 api 打交道,这些上面老哥都说了。 |
20
sunriz OP |