国内的研发/测试岗位都有个年龄限制,越老越难干,那么从事安全领域的是不是越老越吃香呢,毕竟经验在那,干到 45 岁左右应该没问题吧?有没有类似经验的同学分享下。
肯定比业务强,不过安全也很卷,且难入门
一般都是护网的时候去买安全服务,所以也都是临时工
有。目前公司撤出中国,安全业务核心团队的人都被猎头各种打电话,不少都是 2n 涨幅,而做常规业务的研发人员都需要自己找。
有搞头,但难上手
去干保安吧,干的活差不多,少走四十年弯路。
沫沫sir
回复
我就是做安全的。
不过我是质控转安全。
然后我那个组也有直接是安全公司来的。基本就是一年合同,到期了再招标。和我处了一年的几个哥们这回公司没招标进的来,换了别的公司,然后那几个哥们就回去拿基本工资了。
当然也认识进研究所的,貌似很厉害,拿几个 0day 分分钟半年收入进账。
这玩意也不是越老越吃香,你看看现在的安全教程,还都是 php 呢。。。。实际重视安全的公司,还有多少 php 项目啊。。
曾经在互联网的安全部门做 QA 做了两年多。我对安全这个领域的肤浅理解是:
-
安全领域细分方向十分多,每个方向都可以非常讲究技术深度,某种意义上安全就是最 hack 的技术方向,从技术积累上来看,可以说是积累越多越吃香。
但不等价于越老越吃香,原因后面再说
-
相对优秀安全从业人员都是从学校就开始积累这个方向的技能,因为安全要做深需要大量研究、实践、打比赛的积累,对各种常见套路烂熟于心,工具信手拈来,甚至工程开发能力都不输于常规软件开发。
为什么我会有这个结论,因为我工作后尝试往安全转,但是发现工作中常规的质量保障占了绝大部分时间,剩下的一点时间不足以让我系统地拓展广度和深度,我觉得自己没优势
实打实地说,国内的安全,技术积累大多在头部互联网、安全公司。没有业务就没有安全,面对百亿级流量的互联网公司如果安全不做好业务损害是很大的,可以看到非常多细分方向百花齐放的平台级建设方案;头部安全公司因为市场垄断和人才聚集的原因,有更多的资源和平台去支撑安全技术积累。
-
乙方小公司的技术积累虽然有限,不过可以见识到形形色色不同安全需求的客户,相比于大厂有更多时间涉猎更广泛的领域内容。
我的意思是,小公司可能业绩压力会小很多,也不需要花太多时间务虚,所以研究的时间也更多
-
安全方向有个特点是入门迅速,因为最粗浅的安全问题都是有规律的,不外乎是写代码时没有安全意识和规范埋下了坑,这种问题早已被前人总结烂透并有对应工具去处理和遍历。安全入门常常就是学习工具使用,然后就能挖到实际问题(我自己就只是这个水平),这样容易导致心态浮躁,只是个 script kid 就以为自己很屌,阻碍了进一步深入
这里对应第一点,不是越老越吃香,而是能力越强越吃香,是技术行业的普遍铁律,想躺平优先考虑国企外企,乙方公司安全需要业绩,甲方小公司对安全的要求有限
以上,供楼主参考交流。总结一下我的建议:
如果觉得安全是一个随时进出的领域,想混进去躺平,个人竞争力只会加速流失。如果没有足够的信心和长期自驱力,不建议把安全作为职业核心路线。
-
普通 QA,可以多学学安全概念和安全意识,再尝试把这些转化到质保工作中,去积累业务场景下的安全知识和安全规范,而不是局限在具体安全技术和安全测试上。其实大厂里很多安全团队就是把某种安全概念以工程化的形式引入业务,所以你的思路到位才是关键。
说得很抽象,举个实际例子,比如公司有一万台 IDC 主机,里面安全了无数的常见系统(redis、nginx、mysql、tomcat、fastjson……),假设某天某个系统被爆出有严重安全漏洞,会被黑客利用直接获得 root 权限,公司要如何快速抢救?一个思路是做资产指纹识别,在每个 IDC 上部署 agent 定期收集机器上系统资产信息(这里的资产,意思是这个主机上有什么系统,是什么版本),然后通过版本匹配迅速定位有有问题的 IDC 马上升级。
具体行业的情况我确实太了解,如观点不一先当我是错的,纯属个人交流。我也算是第一次总结我对安全的理解。
