2017-09-07 11:16
当然是吴京…… //@Fenng: 问题是谁来清除呢?两难啊
2019-06-21 11:05
回复@LazyRicky: 我们不看应届不应届。上到八十下到十八都行。主要看活儿好不好。//@LazyRicky:所以教主招应届毕业生吗?北京。
2019-06-20 13:59
对安全问题的一个常见误解是认为漏洞是某种像导弹一样的东西,可以用油纸包起来放到山洞里。但导弹不会消失,而漏洞转瞬即逝。漏洞是动态的,不断产生,不断消失,所以其实更像电。电一旦发出来,难以长期保存。所以搞电力建设,核心不是囤积多少电池,而是建多少电站。对于漏洞来说,“电站”就是安全研究者。
在漏洞研究领域,人和人的差别有多大呢?大到一万个臭皮匠也顶不了一个诸葛亮。在任何行业,这种情况都是管理者最不喜欢的,但又是一个客观事实。在目前以及可预见的未来,没有什么软件或硬件能代替优秀的漏洞研究者。
目前业界公认水平最高的漏洞研究团队是 Google 的 Project Zero。Project Zero 汇聚了全世界各类漏洞研究方向上最好的一些人,每年都能产出数量和质量惊人的成果。那为什么这些人都愿意去 Project Zero?
Project Zero 的待遇当然是很好的。但同样的待遇,很多公司都能给得出。最主要的原因是 Google 给了 Project Zero 最宽松的氛围,特别是制度性地允许和鼓励对研究结果进行完全披露。
对研究者来说,除了薪酬待遇,最重要的是自己的成果能为业界所知,能自由地进行交流。这一点,决定了他们能够从内心中产生强大的自我驱动力,能对研究的问题昼思夜想,全身心投入。而不会像大多数人那样抱着拿一份钱打一份工的想法。不会多工作几分钟就认为公司占便宜了,自己吃亏了。
2006 年前后,国内网络安全研究人员的薪酬水平比较低。那几年 McAfee、Fortinet 等外企从中国挖走了大批优秀人才。以至于硅谷有些安全公司研究团队里一半以上都是华人。2012 年之后,国内这个行业的薪酬情况逐渐好起来,去国外的人就少了,一些已经去了国外的人也回来了。
目前国内安全研究实力和美国相比尚有差距,但处于蓬勃发展的状态。相对自由的环境,让大批优秀的年轻人愿意加入这个行业,展现才华,获得属于自己的成就。如果现在改变这种环境,让每个人在发布研究成果时都思前想后战战兢兢,短期内也许能获得些许表面上的平安和稳定。但长期来看,一定会对安全人才培养造成非常负面的影响。
说漏洞像电,漏洞其实又不像电。三峡的电,如果中国人不发,别的国家也发不了。但任何漏洞,如果你没有足够的人才来研究,是拦不住别人去研究的。
2020-09-29 12:45
Google 要求 2021 年 9月 30 日之前 Google Play 商店里的应用必须使用 Google 的应用内支付系统。这样 Google 就可以像 Apple 一样,从内购里抽 30% 了。
如果中国只有一家手机公司占统治地位,最终必然也会朝着这个方向发展。
2012-05-21 16:10
它们说月子里洗头吃冰激凌就会如何如何。你说外国人都这么干也没事啊。然后它们说外国人和中国人体质不同。你说很多中国人这么干也没事啊。它们说现在是没事,老了才会发作。你说许多海外华人这么干,老了也没事啊。它们说海外华人常年吃西餐体质已经不同了。
2012-03-22 11:22
先看成“招处女做运营”,一惊;仔细看,大惊。我又想起南方某网络公司老板招人、提拔皆要看八字跟自己合不合。估计他们HR里有一个专门的职位。 //@王红阳:[萌萌石化]