跳转至

04 选择:空间大,随便做什么都是对的

你好,我是晓蕾。这一讲我们跟随道哥开启他的职场生涯。初入职场,我们必须直面选择和被选择,很多困惑,很多犹豫,很多不解。身在职场,我们怎么才能游刃有余?有人说职场是修罗场,工作就是修行,而修行都是细节,是每一个当下的具体选择。

极客时间:毕业之后进阿里的过程是怎么样的,可以和我们分享一下吗?

道哥:当时毕业了去找工作,我去参加过一家公司的面试,然后他们把我挂掉了。后来我的一个朋友,他是幻影的核心成员,他当时跟着一家安全公司给阿里巴巴做阿里的第一个安全项目。他说阿里在招人,问我愿意不愿意来,我就过来面试了一下,结果就来了。所以我没有面过太多家公司。

其实我当时的想法是毕业之后去安全公司的。我觉得自己运气特别好,你想想,我就面试了两家公司,第一家把我挂掉了,第二家阿里就这么来了。当时如果不是我的朋友推荐我到阿里,我可能就去了安全公司,那今天就不是这样一个发展轨迹了。

我是2005年进的阿里,淘宝是2003年成立的,支付宝是2004年成立的,可以说我2005年进阿里的时候,阿里还是处在一个很早期的阶段,我是跟着阿里一路成长的。当时我到的这个部门是阿里的运维部门,因为那时候没有独立的安全部门,所以我是整个运维部门负责做安全的,实际上负责IT的安全。

我其实很早就来实习了,入职的时候成为了第二个安全的员工。第一个员工在后来的很多年里一直是我的老板。他之前其实是在给阿里做安全测评的那家公司,后来来了阿里。就这样,我跟他变成了阿里的第一个和第二个安全的员工。阿里那个时候没有安全,所以我们就把整个阿里安全的事情全部做掉了。

身边也有很多朋友问我一些找工作的建议,我给的建议就是尽量找空间大的地方,你随便做个什么都是对的。如果在空间不大的地方,做什么都跟别人卷,然后还得证明自己是对的,那就是浪费时间。

极客时间:这个空间大我们可以细聊一下。你刚来到阿里的时候,当时大家对安全是一个什么样的态度?

道哥:没概念。说到安全,很长一段时间大家可能觉得就是别出事,其次就是尊重。尊重、别出事、把事摆平,大家就是这么一个心态。其实到今天,很多公司对于安全团队应该也是这个心态,否则不会有一个声音叫做“觉得这个部门很神秘”。你正面听这句话,他们很尊重你,你负面听这句话,他们完全搞不懂你在干什么,就是别出事就好了。

我们的日常工作,首先是安全检查,所有的问题必须排查到。第二是要前瞻性地建立一些框架性的东西,从根源上把问题消灭掉,这就会涉及安全的工具、开发框架等等。第三就是合规,帮助公司合规。第四就是应急响应,出了事第一时间尽快灭火。一个企业的安全部门的职能主要就是这样,当然内部还有一些安全培训、安全训导之类的。

至于我来了之后,第一个就是把整个网络、IT以及生产环境(服务器、运维、机房)这些安全的规范建立起来,因为安全问题都要找到,所以做了大量评测。第二就是合规方面的东西,要做很多安全的标准。以前叫BS7799,后来改名叫ISO27001,那个时候没有等保(网络安全等级保护),所以当时最重要的就是安全合规方面的认证。

再往后我们就开始建立自己的SDL安全开发流程。然后业务范围又扩展了,就从IT和运维的安全走到了应用和程序的软件安全。那个时候团队也变得更大一点,我们引入了很多Web安全方面的人才,相当于阿里安全的核心班底就是在那个时候建立的。我们也是业界最早开始做安全开发流程的企业。

极客时间:这个阶段你不知道公司是怎么赚钱的?

道哥:对,不知道。但是就会有一个问题,就是永远干着螺丝钉的工作而没有办法扩盘,而且也有可能忽略掉一些重要的事情。当时就是公司养我,然后让我干安全,我就自己把想干的安全都干了。

极客时间:“把自己想干的都干了”,这个过程里有没有什么契机?比如让你觉得突然突破自己的认知了,原来还有这些事情也是需要纳入到我的范围内的。

道哥:很多。因为我在大学的时候还是研究操作系统的安全,加入阿里之后,虽然阿里的业务跟网站应用是密切相关的,但是由于我的惯性,当时还在研究操作系统安全。我花了大量的时间在阿里的岗位上研究操作系统安全,还发了很多文章出去。

那个时候我看那些文章是挺漂亮的,技术深度也是非常深的。但是对于阿里好像没啥用。不过阿里也没管过我,当时环境相当自由。

这件事情好玩的地方在于我拿着阿里的工资,干着和阿里没啥关系的事情。但是这件事情也不能说对阿里完全没帮助,今天换一个角度来讲,阿里如果想把这些东西用好,比如说创造一些影响力,也是可以的。但是我当时在这个岗位是没有这个意识的,只是去做了这件事而已。

后来我慢慢发现,天天搞这些东西对阿里是没帮助的,我就想做一些对于阿里有帮助的东西。所以就是深入研究一些Web安全,这个转变是在那个时候开始的。做了一些研究之后慢慢扩盘了,发现可以进入到研发的领域,而不仅仅是在运维这个领域了。因为做操作系统安全还是主要围绕着运维这个领域在做,但是进入到Web安全以后跟研发的关系更大一点,然后范围就扩展了。

极客时间:这里面的变化,会有其他人对你的影响吗?

道哥:没有。我当年曾经有一个判断,如果我去了绿盟、启明星辰这样的公司,我能够在操作系统安全上面做到世界顶级,或者我如果去了国家队,我可能会在攻击技术上做到世界顶级。可惜都没有,我来了阿里。

因为我在阿里,所以我认为自己只有可能在防御技术上做到世界顶级,这是环境对我的影响。有了这个判断之后,我会很主动地选择去研究Web的安全技术,而且有意识地往防御技术方面做沉淀和积累。所以环境很重要。

极客时间:所以也是要抬头看看身边的环境,认清环境之后去发力。说到环境,关于平台和个人的关系,你是怎么理解的?

道哥:我觉得我加入的阿里不是大公司。大家不要有这样的误解,平台大不代表公司大,我说的找大空间也不一定是大公司。你看我加入阿里的时机,进入B2B是在2005年,什么阶段呢?支付宝才刚出来一年,淘宝才刚出来两年。当时B2B的业务属于公司主营赚钱业务,而且没有安全团队,所以我是在一个公司的高速增长期,而且是在偏早期的时候进去的。后来也是在阿里云成立的第一天,啥都没有就进去了,所以我才能跟着这个平台共同成长。

极客时间:当时你来阿里的时候,其实没有关心过它是不是阿里的主营业务?

道哥:对。我当时完全没有这个概念,有一份工作已经不错了。我在阿里的不同时期进入阿里不同的领域,都是阿里没有平台的时候,所以我认为不是平台成就了我,包括具体到哪一件事情,我也觉得不是哪件事情成就了我。

我会说是阿里这家公司成就了我。我今天得到的所有东西,不管是有形的还是无形的,一定是因为我在阿里这么多年。我这么多年的职业生涯里,只有两年离开过阿里,然后就是现在了。我所有的成就跟阿里肯定是紧密联系在一起的。

但是换句话说,我不是在阿里已经处于成熟期了,再进去做事情,所以说也没有沾什么平台的光,我在阿里取得的所有工作成果也都是自己开拓的,我进去的时候都很困难。也是从这个意义上来说,我一直坚持给大家的建议就是找到发展空间大的地方。

极客时间:我们应该怎么客观地认清自己的能力,怎么判断平台给自己带来了多少加分项?

道哥:保持克制。你要很克制地去用自己所在平台的那个品牌。不靠平台资源也能成功,你就知道自己具备这样的能力了。其实现在很多人是在透支自己平台的品牌,而不是为这个平台的品牌加分。

互动小茶桌

什么叫空间大?空间大的重点在于自己有机会去拓展工作成果。借事修人,因人成事。

大的空间不一定是大公司或者大业务,也可能是整个业务链条里的关键环节,或者萌芽中的小业务,但是你知道自己有能力和它一起成长。这就需要我们“知道公司是怎么赚钱的”,看清环境后发力。

除了有足够的空间让我们发力,在职场中,我们还需要有所沉淀。为何沉淀?如何沉淀?下一节,我们会聚焦在这个角度开启访谈。

你的工作处于公司业务的哪一个环节?能对自己所处的空间做一个判断吗?

欢迎你在留言区和我们互动。如果有所启发,也可以把内容分享给更多的朋友一起交流学习。我们下一节见。

戳此加入访谈交流群,和道哥一起探索工程师精神。

精选留言(6)
  • 苏果果 👍(2) 💬(0)

    🎉喜大普奔🎉 道哥将于9月20日做客「极客时间」直播间。 关于道哥,关于自己的成长,你还有什么想问的问题吗? 欢迎在任意一节课下方【留言评论】! 我们会在【赞数较高】的问题中挑选3个,在直播间给出【比留言回复更更更详细】的解答! 还等什么!快来提问吧!😉

    2023-09-14

  • lw 👍(5) 💬(1)

    想了解下道哥如何看待现在的网络安全就业环境,现在甲方乙方普遍内卷,似乎没有或很少有早期那种道哥所说的“空间大”的工作了。

    2023-09-15

  • 岳明灯 👍(5) 💬(1)

    道哥,听说你当年面试阿里,面试官问你怎么体现自己能力?你问面试官要了台电脑,五分钟把服务器关了,有这事嘛!?

    2023-09-14

  • 九泉三部 👍(2) 💬(2)

    道哥,我是一名从事了3年前端开发的工程师,现在想学习web安全,可不可以推荐下学习路径

    2023-09-14

  • 起而行 👍(1) 💬(1)

    道哥怎么看待,在平台刚成立的时候 虽然空间很大 但是没有成熟的系统让自己学习,或者说很多时候需要靠自己摸索,没有按照大厂的最佳实践来,会不会养成坏的技术习惯?比如谷歌的应届生入职会有完整的coding和design的培养,而新的领域糙快猛,可能面临没人别人带的问题

    2023-09-16

  • 先听 👍(0) 💬(1)

    听下来了,内容越来越好,慢慢感觉到厚度了。 感觉到我前两天的留言有些急躁和肤浅了。抱歉

    2023-09-15