信息安全|将挖洞当作爱好和职业的笑与泪:微软漏洞研究员的自白( 三 )


早期我发现一件事:通常情况下 , 相比写出无懈可击的代码 , 找到安全漏洞更容易 。 因此 , 投资开发安全意识对于确保浏览器安全至关重要 , 但如果没有开发人员的协作 , 一切都是空谈 。 确保浏览器安全是所有团队的共同责任 , 而不应仅落在安全团队头上 。
工作的另外一部分是对所有计划引入 Edge 的新特性进行安全审计 。 你可能认为这部分工作最像浏览器猎洞 , 那你可就错了 。
尽管目标是找到特性中的 bug , 但同时需要查看真正的 C++ 代码 , 而这是我在挖掘浏览器漏洞时很少做的事情 。 我必须马上学习一些 C++ 知识并粗略了解 Chromium-Edge 的代码库知识 。 虽然要花点时间但在同事的帮助下我hold住了 。 但实际上我希望自己之前应该更加关注漏洞是如何修复的 , 而不是关注漏洞报告是否通过 。
一言以蔽之:深入挖掘要比节省时间转向下一个漏洞重要得多 。 所以应该更加深入地挖掘并阅读代码 。

自我怀疑在整个旅程中 , 我常常会陷入自我怀疑 。 记得发现第一个漏洞之前我还在想 , “我谁啊 , 要从这么大的公司找 bug?“但不管咋样 , 我还是傻傻地尝试了 。 当收到工作 offer 时 , 我想的是 , ”我谁啊 , 还能在这么大的公司工作?“不过我还是来了 。
这种常见的感觉被称为“冒充者综合征” , 要想克服它就得先了解它 。 忽视心中爱唱反调的小人人 , 试着做一些最初自己认为无法办到的事情 , 你就会被自己惊喜到 。 我在推特上比较活跃 , 仅关注处于安全圈子的人 , 并且坚持对圈子做贡献 , 这是我提升自信心的方式 。
我讨论的并非是获取粉丝 , 而是获得自己所崇拜的牛人的鼓励让我一路向前 。 了解他人的工作鼓舞着我而且激励着我变得更好 。 成为团队的一分子也同样如此 , 和知识技能远在我之上的人一起工作让我变得更好 , 因为我周围都是很了不起的人 。

一言以蔽之:勇敢点 , 去追求 。 成为支撑系统的一部分吧 , 不管它看起来是什么样子的 。 分享就是关爱大多数漏洞猎人都是自学成才 , 也就是从网上的免费资源学习 。 Writeup、博客、论文、幻灯片以及讨论安全的演讲和视频都是其他作者的努力 。 回馈并继续为这个开放资源做出贡献是自然而然之举 , 而且也会帮助他人实现目标 。 这样做带来的好处要比所花费的时间更有价值 , 比如:
1、如果你像我一样母语并非英语 , 那么通过上述活动可以锻炼自己的技术协作技能 。 有效沟通安全问题的能力 , 对于确保大家都理解并使工作顺利进行至关重要 。
2、就某个话题进行写作能使自己重新了解这个领域 , 而且很有可能会获得之前错过的新东西 。
3、这样做会让互联网更安全 。 你的贡献可能对其他人找到其它bug至关重要 , 因此会使更多的bug得到修复 。
4、你会获得声誉和认可 。 需要招聘或协作的人员会因为你的写作而记住你 。
当然 , 在社交媒体上你可能更加关注点赞数/阅读数/参与而非作品本身 , 我也会掉入这个陷阱 。 不要以点赞数的多少来衡量自己工作的价值 , 因为它是错误的 。 你可以把推特等社交媒体作为获益渠道 , 不过需要花一些时间关注对的人以及设置一些正确的词语 。
我之前还有一种先入为主的想法 , 认为像微软这样的大企业不会关心在网上写东西的人 。 当我写下对某些公司的失望时 , 我只是在和同龄人发泄 , 而不会想到这些公司会有人关注 。 但事实上这些漏洞/推文对公司确实很重要 , 它们设置反馈功能并非为了好看 , 而真的是会有人看反馈 。 我的反馈得到认真对待 , 而设立目标是为了达到目标 。 这也是为何要写博客/推特/社交文章的另外一个原因 , 它真的会让你的声音被听到 。