🥷
🥷
文章目录
  1. 前言
  2. 生活中的几件小事情
  3. 职业上的一些心得
  4. 其他
  5. 后记

致虚极,守静笃

2021.03.24 放之 HowTo

前言

去年还能保持几乎每月一篇的更新纪录,今年却没有什么时间去记录。说到学习进步,倒也算是进步不少。其实每个人如果能够突破瓶颈,在很长的一段时间里都是能够感觉到境界上的明显变化。 我本打算两周前要写点什么的,也因病取消。当然也不仅因病,之前的一些存稿也因为重装系统时抹错了盘,导致数据尽丢。而如今在一个全新的系统上,在休了两周假之后来罗嗦两句(似乎是强迫症)。

生活中的几件小事情

  1. 感情上的许多事情开始提上议程,准备有计划的进入婚姻阶段。开始筹备买房,核算订婚/结婚的日子。总之诸如此类种种。买房看盘我是一窍不通,大多数时候都是女友在忙。我只是接送一下,后来看多了也就知道了一些。预算多亏亲友相助。算是勉强准备上车。站在你背后的那些人,应去爱。
  2. 书单里加了6本书,已经读完两本———《乌合之众》,《身份的焦虑》。 做了一些笔记,但是没什么写读后感的想法。或许是因为我此时此刻状态依旧不佳吧。//补充一句吧, 就是很多时候古文几句话的事情,西方文学需要用很多篇幅甚至一本书去印证。但这样解释的是更清楚,佐证的更通透。不似古文只有几个字让你尽管去悟吧。
  3. 现代医学的精妙在这次生病中(社区获得性肺炎)算是简单的体验了一把。但也确实感觉到许多不足。短短一周时间,消费1.2w,其中检测费用大概8k左右。撇开医保和异地就医的民生问题暂且撇开不谈(打工人不配生病)。一个明显的现象是医生不再具有搜索关键特征判断的能力,而是依赖于完整的检测体系。我大概想表达的是,头痛没必要检测脚部的真菌。总之这是一个难忘的经历,这本不应该是一个严重的疾病,但是因为检测却带来了更多的伤害(不会有人喜欢气管镜和动脉血氧检测的)。同时深夜病房隔壁床大爷们无止境的咳嗽更是让人难以休息,又不允许晚上回去睡觉。 更为讽刺的是医生仅认可所在医院的核酸检测,属实荒谬。所以我在短短的两天内做了两次核酸检测,倍感民生之多艰。 望着一群刚去实习的小姑娘,算是青春洋溢吧。其实我很想说,希望你们能够慎终如始,怀着一颗治病救人之心,能做敢为人先的事情。而不是利益勾扯,初心尽失,啃食病人。不要觉得有什么戾气,事实如此。
  4. 想起来去寻找一些更为根本或者在本质上的事情,想去寻找生活中行事的渔,有那么一丝丝的灵感,又似乎摸不着头脑。

职业上的一些心得

  1. 开始了解学习安全框架,也不止于安全框架。TOGAF, ITIL。 以前去看一些文章,很容易被文章本身的内容吸引,关注在更多的技术细节。现在回过头去看,更知道说的是在哪一块,或者说仅仅做了哪些微小的工作。谈威胁建模不过是SDL的一部分,当然也不仅应用与威胁建模,谈应用架构也不过是企业架构中的一小部分。谈风险控制,也要知道整体的IT策略其实是在IT和业务相匹配的方向上发展的同时,控制波动(即潜在风险),也要去控制业务本身带来的风险。这种已经总结好的成套的框架绝对是具有一定的参考意义的。同时也会帮助你拓宽视野,梳理出治理视野的版图。
  2. 金融新基建这个话题至少在未来十年内应该很难得到有效的实施。安全本身的服务性质,乃至IT都是服务性质的。面对政策监管企业是毫无还手之力的。在过去的十几年内针对卡支付,非银支付建立起的交易系统面对数字货币的冲击又会作出什么样的改变呢?值得畅想。从连接主义到计算主义到数据主义,都有着不同的变化。坐在什么位置看到什么样的变化。我等屁民逆来顺受。谈金融新基建又想起了最近在说的安全新基建,说一件事吧,每每用着国外的某些软件时,感叹好用之余,不禁冒出当自强的念头。少吹一些概念,多做一些事。
  3. 不要总觉得(可以觉得,但不能总觉得)自己的才能难以得以施展。有这种想法的时候说明你还是很年轻和激情的。请把这份激情留在热爱的事情上。不要说什么热爱工作。除非这是你的事业。如果一直觉得不对头,那么就要去分析以及调整自己。是不是可以更换环境了?面向简历工作,面向未来工作。及时总结和反思。大佬真的离你很远吗?或者你真的离所谓大佬很远吗?越平淡,越难觉得真的大佬是很少有的。平常的大佬或许可以用具有一定经验的专业技术人士去形容某个人。随着从业的年限逐渐增加,一个人难免遇到各种人的,遇到傻逼就和他生气是不值得的。心态一定要好,管理层有管理层的视角。道天地将法,很多时候将是不行的(真正合格的很少),大部分的企业能够起来不是因为真的做出来什么划时代的创新和努力。而是恰好站在了那个势上,然后用努力来PUA你。实际非也。基业长青是愿景驱动的,就像我们始终认为顶级资本应该是趋向良性投资的。不仅仅是盈利,而是为人类和社会。
  4. 基础决定上层建筑是个不变的道理, 企业安全建设中更应该在基础技术上投入更多的精力。比如加密基础设施,这些在很多年内都没有引起过重视,大家投入许多精力到安全运营中。运营固然重要是在最后一公里增加了巡逻检验,但比如说3条路都能直取要害,你还为一条路上的监控措施自豪。这不是玩呢。
  5. 一个人在入职的时候很大程度上就决定了他的用人成本。跳槽永远都是获得涨幅的一个快捷途径。但是另一方面来看,员工的工作激励不仅仅是来自KPI,而是利益驱动。培养他的ldearship, owenership,产品意识,业务能力等。用股票和分红来激励要比321类的KPI更有效。 KPI用于管理人,OKR用于管理目标,Scrum帮助你加快项目进度,敏捷方法或许有用,但是在很多时候公司并不具备这个条件。
  6. 业务上也读了一些书,但是本身是不在书单内的。一本是介绍电子支付的,一本是金融普慧读本。算是对各国的支付体系有了一个科普性质的了解。值得一提的是电子支付的那本书里对安全的介绍还是有一些值得借鉴的。这在一本教科书里是很难得的。尤其是作者是经济学博士,似乎和信息安全没有关系。

其他

update at 清明:

在电脑上登录gmail,看到search的分析邮件后,感觉访问到本站的读者只关注到了文章的一部分。另在issue上的一部分几乎没有被阅读到。故写了个小脚本,把issue上的文章导出整理了一下。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
import re

from github import Github

g = Github("xx")

# Github Enterprise with custom hostname
repo = g.get_repo("mylamour/blog")
open_issues = repo.get_issues(state="open")
for issue in open_issues:
    print(issue)
    itime=issue.created_at.isoformat().split('T')[0]
    iname=re.sub(r'\W+','_',issue.title)
    with open("{}-{}.md".format(itime,iname),'w') as mfile:
        content = "---\r\n" + "layout: post\r\n" + "title: {}\r\n".format(issue.title) + "categories: \r\n" +  "kerywords: \r\n" + "tags: \r\n"+ "---\r\n" + issue.body
        if issue.comments:
            for i in issue.get_comments():
                content = content + i.body 
        mfile.write(content)

挑选了不少还算不错的随笔,和系列性的文章更到主站上来,共36篇,希望有用。 自我回顾了一下,发现近些年还是有那么一丁点长进的。安全的技术观也逐渐发生着变化。

管理 架构 技术 机器学习 DevSecOps 其他
怎么设计你的反入侵KPI 什么是安全架构《三》 Hashicorp Vault Advanced Tutorial For Enterprise 日志收集解决方案概览 OpenResty入门 致虚极守静笃
PL的项目反思 浅谈数据安全 let’s write a ftp services with Data At Rest Encryption 使用SLS做实时数据分析 Nginx SubDomain and Proxypass Jupyter notebook 由甲醛引起的屁话一二三
浅谈面试官与面试观 什么是安全架构《二》 Let’s write a simple encryption services with softhsm2 and flask 玩转阿里云的ODPS Ansible与Redis集群的搭建 阿里三面的一些问题
再谈谈面试官与面试观 什么是安全架构 【CA】Build a internal CA with Openssl and SoftHsm2 CNN笔记整理 locatunnel的使用回顾 同程面试题
如何进行管理 Talking About K8S Secret Manager Thoughts on Fast Incident Response(FIR) 特征工程笔记《下篇》 AWS EC2 and AWS EMR and AWS RDS 京东面试题
In my way: how can we communicate better? What is “Big security” ? 【Vault KMS】How to initialized hashicorp vault safely sklearn和特征工程 Docker for daily use 不算问题的问题
敏捷开发流程与跨团队沟通 《互联网企业安全高级指南》阅读笔记 企业中里证书碎碎念 机器学习笔记整理 find and grep 《全栈工程师的自我修养阅读笔记》
How To Get Real ? 关于重保这件事 商业设备的使用心得 Text Classification With Keras And CNN SSH的免密码登陆 Mongooser Should Know ?
如是我狗屁不通 浅谈反入侵 KMS/HSM的一点收益 Text Summarization How to Install Caffe in Jeston TK1 Mongo的故事
死亡诗社与博尔赫斯口述 从HW看入侵 CA/RA的一些收益 第一次机器学习培训总结 SSH 内网穿透 几个mongo的小问题
与雨天无关的事 “混沌安全”与反入侵 堡垒机的一点收益 OCR和用Tesseract训练chi_sim.traineddata 使用Terraform在AWS多区部署虚拟货币钱包节点 Nodejs In Uber
写于二零二零元旦前 DSMM第四期与我的数据安全观 浅谈Imperva WAF 的部署方案 [leetcode][23] Merge k Sorted Lists k8s and SecDevOps with AWS Use ffmpeg to capture video frames
说说疫情 计算机威胁检测综述 【CA】How to install root CA in your server? 网页内容自动抽取与词云展示 ELK小记 成为全栈工程师过程中的踩过的坑
半年度个人总结 走出反爬困境 【CA】How to build your own Certificate Authority select best from batch algorithms and autoclf introduction conda in action PPT and CodeReview from a new beginner
微服务架构下的安全治理 【CA】Overview of Certificate Filetype & How to covert it with Openssl GridSearchCV With Keras Models And Pipeline 全栈工程师的第一篇修炼记录
一图了解解决方案设计 【CA】Generate CA with mkcert Cluster Text Document With Spectral clustering sublime 快捷键以及其他
安全运营要干啥? 关于水印这件“小事” 机器学习从头开始之基础套路 纯属折腾之——旧电脑折腾日记 小技巧 III
你是一个合格的SDL专家吗? ATT&CK与入侵检测 The Basic Use Of R 百度云盘下载的套路 小技巧 II
你是一个合格的数据安全专家吗? 从阿里第三届云安全算法比赛看检测模型的绕过方式 Talking about Web Spider II 浅谈OCR在Jeston TK1上的产品化两种解决方案 小技巧 I
浅谈架构图的绘制 异常检测算法之IsolationForest Talking about Web Spider I one line code to download AWS whitepapers
负载均衡和多活 异常检测初尝试 Crawl From QiChaCha CMD And PowerShell
不同视角下的安全评审 使用fasttext进行DGA检测 Crawl From Little IV 翻了翻工作日志,写个总结吧
关于传统安全和拧螺丝的一点看法 fuzzing随机性与char-rnn样本生成 Crawl From Little III Not Only To Build Your Own Github Pages
安全顾问的经验之谈 恶意软件与数据分析 Crawl From Little II
如何进行安全设计评审 Web安全检测中机器学习的经验之谈 Crawl From Little I
攻防之道之从渗透测试看应急响应 新开始
内网安全培训 [[(Webshell) \ (Malware) \ (Advanced Persistent Threat)] 检测相关](https://github.com/mylamour/blog/issues/6)
反垃圾(注册/登录/KYC) How about write a chrome extension?
“野路子”企业安全架构设计 Let’s get start to fuzzing firefox browser with grizzly
关于内容安全的思考和一次反垃圾注册应急 Let’s get start to fuzzing binutils with AFL
安全运维以及AWS云安全之外的一点点思考 Let’s get start to fuzzing libssh latest with fuzzer-test-suite
浅谈代码安全及安全 Let’s get start to fuzzing sqlite3 latest with fuzzer-test-suite
也谈设计模式之常见 Linux Kernel Fuzzing With QEMU And AFL
Chromium Fuzzing with libfuzzer
Fuzzing 学习笔记之 AFL入门
内存取证,密码提取以及Volatility的使用
metasploit批量生成payload
合约安全入个门
Python: 执行系统命令与安全编码
overthewire.org Writeup Or Not
XXE And SSRF
OWASP Top 10 And Security Developer’s Guide
XSS Tricks And Others
MITM
Cuckoo需要注意的坑
Yara模块编写与gyp的跨平台编译
进击的安全
Metasploit的基本用法
Xss相关与Beef的使用
教你翻个墙
实习之登堂入室
写在数据泄露之前
搭建一个免费的reverseshell服务
golang也要耍一耍
GIL And Python Parallel Programing (I)
Jmeter And PostMan
Use JavaScript To Open Camera And Capture Image
image download from telegram channel
算是比较有意思的事情吧

后记

还有不少想说的,等等再说吧。
致虚极,守静笃。万物并作,吾以观其复。