信息安全|将挖洞当作爱好和职业的笑与泪：微软漏洞研究员的自白( 三 ) 国际标准|网络安全

早期我发现一件事：通常情况下，相比写出无懈可击的代码，找到安全漏洞更容易。因此，投资开发安全意识对于确保浏览器安全至关重要，但如果没有开发人员的协作，一切都是空谈。确保浏览器安全是所有团队的共同责任，而不应仅落在安全团队头上。
工作的另外一部分是对所有计划引入 Edge 的新特性进行安全审计。你可能认为这部分工作最像浏览器猎洞，那你可就错了。
尽管目标是找到特性中的 bug ，但同时需要查看真正的 C++ 代码，而这是我在挖掘浏览器漏洞时很少做的事情。我必须马上学习一些 C++ 知识并粗略了解 Chromium-Edge 的代码库知识。虽然要花点时间但在同事的帮助下我hold住了。但实际上我希望自己之前应该更加关注漏洞是如何修复的，而不是关注漏洞报告是否通过。
一言以蔽之：深入挖掘要比节省时间转向下一个漏洞重要得多。所以应该更加深入地挖掘并阅读代码。

自我怀疑在整个旅程中，我常常会陷入自我怀疑。记得发现第一个漏洞之前我还在想， “我谁啊，要从这么大的公司找 bug？“但不管咋样，我还是傻傻地尝试了。当收到工作 offer 时，我想的是， ”我谁啊，还能在这么大的公司工作？“不过我还是来了。
这种常见的感觉被称为“冒充者综合征” ，要想克服它就得先了解它。忽视心中爱唱反调的小人人，试着做一些最初自己认为无法办到的事情，你就会被自己惊喜到。我在推特上比较活跃，仅关注处于安全圈子的人，并且坚持对圈子做贡献，这是我提升自信心的方式。
我讨论的并非是获取粉丝，而是获得自己所崇拜的牛人的鼓励让我一路向前。了解他人的工作鼓舞着我而且激励着我变得更好。成为团队的一分子也同样如此，和知识技能远在我之上的人一起工作让我变得更好，因为我周围都是很了不起的人。

一言以蔽之：勇敢点，去追求。成为支撑系统的一部分吧，不管它看起来是什么样子的。分享就是关爱大多数漏洞猎人都是自学成才，也就是从网上的免费资源学习。 Writeup、博客、论文、幻灯片以及讨论安全的演讲和视频都是其他作者的努力。回馈并继续为这个开放资源做出贡献是自然而然之举，而且也会帮助他人实现目标。这样做带来的好处要比所花费的时间更有价值，比如：
1、如果你像我一样母语并非英语，那么通过上述活动可以锻炼自己的技术协作技能。有效沟通安全问题的能力，对于确保大家都理解并使工作顺利进行至关重要。
2、就某个话题进行写作能使自己重新了解这个领域，而且很有可能会获得之前错过的新东西。
3、这样做会让互联网更安全。你的贡献可能对其他人找到其它bug至关重要，因此会使更多的bug得到修复。
4、你会获得声誉和认可。需要招聘或协作的人员会因为你的写作而记住你。
当然，在社交媒体上你可能更加关注点赞数/阅读数/参与而非作品本身，我也会掉入这个陷阱。不要以点赞数的多少来衡量自己工作的价值，因为它是错误的。你可以把推特等社交媒体作为获益渠道，不过需要花一些时间关注对的人以及设置一些正确的词语。
我之前还有一种先入为主的想法，认为像微软这样的大企业不会关心在网上写东西的人。当我写下对某些公司的失望时，我只是在和同龄人发泄，而不会想到这些公司会有人关注。但事实上这些漏洞/推文对公司确实很重要，它们设置反馈功能并非为了好看，而真的是会有人看反馈。我的反馈得到认真对待，而设立目标是为了达到目标。这也是为何要写博客/推特/社交文章的另外一个原因，它真的会让你的声音被听到。