十月份总结

项目进度 [okr]

okr，从国庆前一周，到十月二十几号，定完。
评审期间，各种需求、方案、可行性分析的敲定，也基本按照预料中的排期走。
理论上OKR没定完，就没有要做的事也没有排期。
但OKR制定和评审的流程也挺长，真等到OKR都评审完了，可能一个月就过去了。
所以把各种需求和方案也算到产品的排期中吧。
​

项目人员

团队人员+1
从5人-6人
多了新的开发
​

校招生的培养

如果不给新来的人规划一个方向，一个劲的把活推过去，很不好(想起了大四时给师弟们写的一些学习计划和发展规划，所幸最后都有个好结果，说实话站在稍微高的角度上，也许花费半小时一小时整理的思路，就能给到别人很多的帮助)。
之前写个一个文档和他们说了一下，大概分析了接下来半年一年两年个人要发展的方向和能力。
​

个人认为一个安全产品里有几个能力：
安全技术运营：
安全产品的规则编写能力，主要还在于安全。每种安全产品要求的安全能力有些不同，如HIDS是主机方面的，黑盒是自动化漏洞检测能力，白盒是漏洞挖掘的能力。同时要知道漏洞怎么修复、怎么去推修，理解业务线的代码是怎么写的。
在扫描器上，就是安全能力的深度，通用漏洞的原理、检测方法、防御方式，特定框架漏洞的原理，如fastjson全版本的原理，struts的原理等。以及其他跨能力检测的方法(结合HIDS/DBAsql日志/侧信道/IAST等来检测)
开发：
理论上在方向职责划分后安全是不需要开发的，但是要走的远，安全又需要有开发能力，能够理解实现方案、对实现方案提出自己的想法。所幸毕业前两年写了一段时间插件后，因为人不够，做了大量的开发(基本都是开发的任务)，对引擎、平台的框架、整体的流程和细节功能的实现比较熟悉。但现在划分的比较明白了，安全的新同学应该争取一些开发的机会，同时周会和各种评审上的方案也尽可能理解吧。
安全产品：
个人看法是发现问题和解决问题的能力。这也是甲方基建最重要的能力吧。
业务问题上，如业务线反馈的qps过高问题，怎么去整体的限制；针对脏数据的问题，有什么好的解决办法；流量过大的问题，怎么解决。
检测能力问题上，没有回显的命令执行，怎么构造检测流程；内网无回显ssrf，怎么自动化检测；sql注入怎么在不发送大量请求的情况下，有更好更准确更无害的检测方式。更多的是跨能力检测方法。
做好这些，往项目负责人的路上走，最好有个高级/资深开发的水平，否则流程不理解，数据怎么走不知道，比较难定好各个方面的需求流程和方案，很难去衡量需求和成本的问题，也比较难看到引擎中的深入的功能点。
​

另一方面，之后的方向可能是：
1 红蓝 深入攻防和研究
2 问题解决方案(产品) 发现问题解决问题
3 运营 专门写规则
甲方的精髓还在于问题解决方案上。
​

总的来说

总的来说，从今年开始，随着大团队的发展，项目组也发展的比较好。人多的同时，要想的也多了，团队接下来一个季度、一年、两年要做的事是什么(虽然从19年就一直在想)，需求定什么(造多点蛋糕)、怎么排期怎么管理。很多事情也可以分出去了。早上当产品、下午当开发、晚上当安全的日子，各种事情(处理bug/需求评审/方案评审/插件问题/漏洞修复问题/处理业务线反馈)好像开始远去了。
但不能这样停，多想想更有价值的事情吧。
已经十月份了，转眼今年好像又要过去了，春去秋来三年真快。第四年，已经快过去一半了。