食用指南

食用指南

  • 博客内一切内容仅供学交流,严禁用于商业用途,禁止用于非法用途,一切违法行为与作者无关

氕氘氚

  • 博客主页是瀑布流式的文章一览,主页右端有可打开的侧边栏
  • 侧边栏有部分向导按钮,基础四个为简介(About)、归档(Archives)、分类(Categories)及标签(Tags),后续应该会根据不同的系列文章添加向导
  • 归档里能按时间线查看所有博文,分类更像是文章的分类导航目录,而标签下则有更加繁杂的文章分类(文本索引可能会在之后文章数量大了起来搞一下?)

Pixiv

£梵青

image

Twitter

Szczecin

image

Bilibili

筱青Official

image

## Lofter

后续计划

  • 一步一步慢慢来,打算会用落書き的模板做另一个页,自动获取 Pixiv 日榜前几的图展示,配有以前个人主页实现的瀑布流展示(挖坑中……)

大事小计

2021

这条其实是2025年12月补的,因为21年的时候其实没有这个博客,但是当时工作上还是有些可以记录的——

21年初还在学校,因为考研错过秋招,就只能准备春招了,属于是哪里有位置就去哪里的情况,于是去到了上海

6月一毕业即入职,用自己省下的钱配好自己心仪的PC,却不知道后面是加班到21、22点赶末班地铁回到家看两集动画就想睡觉的生活,从入职开始就进行CTF相关授课,第一天不是很熟悉第二天被骂半死要被开除了,第二天就被客户认为讲得很好(这里也是半托了请我去吃中辣地锅但自己被辣半死的上海本地前辈的福);然后有一个月要求部署上线 50 个靶场并附有 WriteUp(最后成果就是 WriteUp),导致加班到晚上九点半快十点,在地铁上怀疑人生怀疑自己不适合这行业的时候,二老板给来“你怎么不多待半小时可以打车回去就不用赶末班地铁啦”的“关怀”;在自己觉得过的并不是自己想要的生活时,看看同学们或出国或深造或摸鱼的绚丽生活时,第一次意识到个人、家庭、阶层、命运等的参差……

总之,我从初三第一次见识过上海后,得出的结论就没有变过:这座城市太大,大到能轻易地把人吞噬。无比快的节奏,每天一个半小时来回近三小时的通勤(真的没钱,住很远都还要 2.5k 一个人),工作几乎都是未知的领域(之前没有经验),直到三尾来一起合租后,每天有个人聊天说话,给我的精神带来了极大的缓解,25年的现在补上21年的记事,也是因为或许要和他分别了

21年的我肯定是很痛苦的,但客观来说,成长很快,在安全乙方小厂不到一年的工作时间里,我接触到了很多技术层面的东西,灌输了很多正确的安全领域印象,后面做甲方安全工作时也很能理解乙方等等

我很难忘记21年11月底,刚踏入公司小平层门口时,看到几名同事(几乎是全员了)在显示屏前讨论漏洞的场景,那时的我还不了解什么是 Apache Log4j2,也自然无法理解 CVE-2021-44228 及后续系列漏洞的严重及容易触发程度,也不怪大家议论阿里安全团队的举动

还有一件事是当时第一次遇到资质调查,也就是证书收集,那个时候第一次听说 CISSP,也不知道是什么,只被告知你现在都还没3年工作经验,考虑这个没意义,也就才有了4年后的 callback:我是怎么通过CISSP的?(How To Pass CISSP)

生活上很值得纪念的,莫过于7月去看了上海龙的线下赛,恰好那天上海龙和成都猎人都赢了,同行的大学室友也很开心

image

再有就一定是国庆时三尾来一起合租,一起去逛了城隍豫园那边,然后搬家到闽瑞路,离市中心公司远,但是附近节奏不快,反而有两个互相打价格战的超市,还有小吃街和很好吃的牛脖锅,也正因为原理市区,在疫情封锁后不久就能整点吃的了,政府给的物资也比较新鲜,虽然不多(四五回)

image

2022

3月辞去工作,4月正式离职,交接完全
3月末开始被困在上海,好在有三尾一起不至于饿死ヽ( ̄ω ̄( ̄ω ̄〃)ゝ
现在已经快6月了,还没完全解封,但是要回归正常了,开拓新生活

6月底成功逃脱魔都!应大学室友邀请一起去勒合肥。
第一次遇到可以骑电车上下班的公司,第一次感受到大公司的福利生活,这就是甲方嘛QAQ

这条也是25年补的:

22年记的东西少,主要是上半年被困在魔都三个月,转眼到合肥就已经7月了,实话说,抛开游玩来说,合肥是一个极其放松的城市,很难不变胖的:小区周围都是吃的,上下班只要骑电动车,还有同学在同一家公司(虽然平常不是常见),几乎不加班,房租两个人还没有上海一个人的多(空间更是翻了3倍),社区里孩子都见到的更多。有趣的是6月来到合肥已是晚上,下高铁同司机说从上海来,师傅赶快拉高了口罩;进小区门时说自己来自上海,旁边的居民立刻回“你们敢让这样的人进来啊?”(虽然后面还是被社区居委好好地带进去了)

10月国庆和大学同学们到访南京,在外收到亲人离世的消息,五谷杂陈,现在翻也就没有那时的照片了

再后来就是被封在公司,因为疫情的余波,当时在公司有员工被检出阳性,导致周五一晚上我们都是在公司度过,周六下午才回家居家隔离,但公司应急很周到,周六早上全员发放洗漱用具,面包早饭,午饭吃的什么我到不太记得了,而隔了几幢楼的我大学室友那边已经开始在公司内搭帐篷了

image

工作上来说,在合肥的经历极大丰富了我安全管理相关的能力,也让我知道了作为甲方公司的安全需求,接触到头部公司的安全流程是非常宝贵的事情,我明确的知道一个体系化的安全是能做到什么程度,甚至怎么样能够更好,但这也就导致我对安全建设的高要求,但这个要求在一些中型企业都可能是达不到的,当时在22、23年的我并不知道这个”达不到“到底多么难以评述

2023

感觉自己平平做着一些事情,学习了很多安全管理方面的事情,技术力没有过多施展 = =
这不是工作不饱和强度不高的意思,是公司体量太大,即使是在其中三大部门之一,因为安全人力不够,很多技术拓展的工作很难做起来,因为在安全管理相关的工作做完后,就已经不够精力和时间了
甲方很多事情需要协调,需要考虑风险性,牵一发而动全身,比如修一个组件,既要考虑影响范围,又要考虑业务停摆时间,还要考虑是否能恢复,而业务运维研发很多人还来问有没有稳定的升级方案
很多时候也是因为没有人力,或者认为这个不重要,或者清点不过来业务体量导致的实例数量,就这样不修……完全是定时炸弹

从22年年底年终的薪资追溯,到23年Q1、Q2连续两个季度事业群绩效系数只有0.8,导致旗下的业务支撑部门也随着遭殃
安全是个很难出绩效的部门,你很难说因为保障了安全、多长时间没出严重安全事件怎么的,你就能让业务更多产出,客户更加买单,这些会被大家认为是理所应当的
所以安全很难说因为出了安全问题就要降绩效,因为很多问题是具体实施的业务拖着不实施导致的,业务部门有权利维护业务正常运转,忽视部分安全问题,因为正常运转才是生命线;安全也很难说随着事业群的绩效去折扣,即使把安全做好,我也很难为产品出售之类的尽多大力
虽然因为个人绩效的努力,让我没有折扣的这么多,但是本该属于自己应得的,没有得到反而还要亏损,有点多劳少得的意思了……

6月初,领导说每周二、四要强制加班到21:30,周六上不上班看情况,美名“暑期大作战”;
6月下旬,领导说每周六也一定要来公司上班了,有人不想服从可以提出调岗或者离职;
6月底,领导说要求每人每月加班时长超过50h,不算法定节假日,再持续三个月……

因为去年都没进行“暑期大作战”,因为这样的工作强度比上海都高了,因为这样每人也没有加班费和薪资提升,因为这样的加班也无法提高多少安全对业务的产能提升……
总之,多方面情况下我决定告别合肥,很高兴这里接纳了我的停泊,现在需要找新的栖息地了

11月,从合肥转至杭州,开始新城市新生活,从7月底的离职,到11月底的再入职,实际上中间间隔的时间与上海当时被封导致的空窗期相当,甚至觉得还会久些。原因一方面来说,对于刚出来干了2年多的我来说,正好卡在一个时间的尴尬期,上不满3-5年的门槛,很多公司都直接筛掉简历,甚至有面试直说能力优秀,但是资历不够很可惜的;下对于1-3年的岗位来说,人家招应届生更好压榨,不需要给你多开钱;另一方面,我不太想去绝对一线城市劳累,主要是很不值得,没有性价比:你无法在大城市定居,在大城市的一家公司一直干下去还是得离开的最后,哪为什么不到自己能定居的地方干久点?

可是这样的想法还是挺难满足的,因为安全这个行业,除开大城市,甚至对于武汉这种我认为较合适的选择,都没有太多的甲方安全机会,其中在9-10月时其实有一个很合适的金融行业的岗位,但是到最后三面的时候,给我筛了,理由是更希望招一个安全管理方面的人员,说我可能偏安全技术了= =

总之,本来想8月去护网的我,因为离职时间问题报名进场晚了比较可惜;又因为中秋国庆连假,半月之久+有的公司不理解安全人员能力之间的共通与差异,导致我拖到11月,不得不放弃武汉,重新考虑大城市机会,所以来到了杭州……

可笑的是,在我接受杭州offer的前一天,上海一家医疗公司问我愿不愿意去武汉的分部、杭州一家支付公司问我方不方便面试。这两家公司,一家我9月初便投了简历,现在才来问的原因也是认为我更偏安全技术,但是实在招不到人,说“如果我有意愿也可以进行培养”;一家我也是10月中旬就投递了简历,快一个月才来问……我也想接受这两家的机会,但,谁能保证我不会再次被三面刷掉呢?

现在是12月中旬,三尾从老家回来杭州让我安心不少,总之,先过掉试用期再说吧,希望能在杭州待久一些,饱和一下个人简历

本来写了这么多好像可以不用补充了,但是现在看来好像没有写生活方面的内容,工作上也只是吐槽了为什么离开合肥,所以25年再来补补:

2月到武汉出差,也是我第一次去武汉,在本地同事的邀请下喝上茶颜了,但还没来得及玩就因为供应链安全的问题被拉回合肥紧急处理了= =

5月时去参加了方舟的线下嘉年华、CP29和音律联觉的返场(按大麦的德性怕不是唯一一次抢得到票的音律联觉了),氛围很好,意识到买谷子真不如在 CP 上给钱给二创作者,当时也没想到 CP30 甚至之后的都改到杭州(原因好像是被魔都政府查水表了,CP29 太多人了,与申报完全不符):

image

image

6月大学同学几人在合肥完成了第二次聚首,而从8月开始我便辞去了在合肥的工作,但对于每个我待过的公司,我目前都要感谢他们给我带来的成长,尤其是23年,我经历了真实的供应链投毒、NDay漏洞应急,我怕是忘不掉 CVE-2023-33246 和后续的 CVE-2023-37582 了,同时我也第一次有了自己的个人 CVE(CVE-2023-31884),虽然像是捡到的

image

再之后就是在家赋闲的9、10月,然后便是11月底前往杭州了;在合肥时,我们厨房窗台飞来了两只环颈斑鸠,筑了巢,还生下了小咕咕,三尾就很有闲情在窗台撒米撒谷喂喂他们,在我们离开不久前,两只小咕咕也长大,离巢,窗台也就冷清下来了

image

2024

24年至25年的活动都在25年底进行的补充

自在杭州入职以来,我便一边与灰产技术对抗,一边进行着安全建设与加固的工作,自己一个人完成了客户端与服务端的渗透,逆向而后又 Hook,协助过等保与审计,出具流程制度并努力落实,期间还要规划和把 DLP 融入网络等等,确实无比充实,可以说,24年我没有对公司任何不满的地方

1月,大学同学完成了在杭州的第三次聚首,自合肥以来,就全是我组织的了,目前来看,26年元旦去武汉的计划也是我组织的(一群懒狗)

3月底,游西溪湿地,个人感觉是比拥挤的西湖更好的去处,只可惜三尾这家伙花粉过敏!

image

image

8月初,受鹰角网络邀请,和学弟一起参加了第一次“开拓芯”游戏创想节,体验到了非常多有意思的独立游戏,也期待他们的完成与发售,就可以补票了(然后25年我就被“杀熟”,没能收到邀请了)

image

同时,在7月底我也开始了第一次的出国计划,开始规划去日本关西的事项,并于9月-10月完成去日本的旅行,详见 关西近畿之行(Trip Kansai Kinki)
关西近畿之后(After Kansai Kinki)

继而直接参加第一次在杭州举行的 CP30,也有高中的一位肥宅与我同逛

image

image

但在从 CP30 回来的地铁上,我得知了亲人进入 ICU 的消息,第二天便赶回家里,所幸老人身体恢复了过来,但此后便行动困难起来

那是我第一次在病床边上看望老人,此前虽有老人病重或离世,我都不在也都来不及,再往前追溯,上次在病房已经是06年妹妹出生时了,或许高中也还有一次。我只知道路上的焦急在看到手上插着针头、身上贴着电极、鼻口还需要软管吸氧、旁边心电图一直在做心率不高的数值显示时,真的很动容,我当时就对他说,22年另一位老人逝世时,我不在家,非常突然,我不想这次也见不到;也说家里如此多的医生,连自家长辈都没办法关怀到,他们会怎么想,以此来让他安心,多好好休息

我母亲和妹妹对他并无好感,认为他太无情,我何尝在过往不是被他嫌弃,家族关系的复杂与变化让人不去承认血脉和儿时的亲情,不论懂事与不懂事,我自小都在做着维系这脆弱的家族关系中仅剩的亲情的工作,不是我的父亲也不是我的母亲

其实早在九月底,他便说腿脚不舒服,后来进 ICU,当我到时已经从重症病房转出,期间小一周,在日本的我并不知道这个消息,要不是回国后一抹多向我告知,甚至没人想让我知晓,母亲认为我在外也回不来,父亲认为无需我着急,迎来的是我的驳斥

如此多年来,学业或工作繁忙,虽仅是节日时的探望,但这不是为了虚假的良心和所谓家族,因为我记得我孩童时受到的关怀,即使当时的生活并不富裕,我也想把这份亲情继承与传递下去,替早已逝去的人,替可能遗忘的人,即便他们不认过往,我也需要告知我的后辈,什么是儿时自己不敢拿不敢吃的零食,被偷拿来塞在手心,什么是在幼儿园吃不饱的午餐,放学后的一顿开水泡饭,什么是中秋的一轮圆月,什么是除夕的万家灯火

24年是无比充实的一年,不论是从工作还是生活上,只叹息好景不长

image

2025

1月过年回家,久违的从建春门出,过浮桥,看望24年病重的老人,他变得温和了许多,以往看谁都不争气的火爆脾气已然过去,以往掌厨年夜饭的他,今年也只能让人搀扶下床,也是因为24年的病重,过年时久违来了不少亲戚,不知来年如何

image

3月底,随团建第一次去到西湖湖边(啊没错,来杭州三年第一次),也算是知道为什么如此多人中意西湖,回来时不想等公交的我还饶有兴趣地从西湖坐交通船回来,不知道现在是否还有航线了,但也是从这个时候开始,公司高层开始出现问题

image

image

image

4月初,被三尾拉去柯岩,原因是鲁迅故居太多人了,根本进不去!不过柯岩的景色让我怀疑黑猴有在此取景,风格极其类似

image

image

月末,陪朋友一起去看 OWCS 的线下赛,先去的浙江省博,然后在省博逛累了坐下来看线上比赛,结果声音小外放被路过的朋友听到也看到了,凑过来一起看,于是这位来自山西的朋友和我们一起看到OA 1:1 FLC,不敢看了,当我们看完与他在馆里再相遇时,只能告知一个好消息和一个坏消息:好消息是还有OA的比赛,坏消息是在败者组了

然后果不其然 OA 败者组寄了,气的我朋友晚上自助都吃不下,只能第二天看没有主队的决赛,那很可惜呢,我支持 CR(XD)

image

再后,去参观了黑神话悟空的艺术展(就在杭州,也算是游科在杭州的近水楼台了),其实这个展子没有太过惊艳,但是免费给的设定集还是有收藏价值的

image

5月,事情就坏起来了,业务新上架了一个“找搭子”的活动,任何用户都能邀请用户成为自己的搭子,各领取一天会员权益,虽然邀请人领取的会员权益有上限,但是受邀人是无限的,因为这个活动可以随意解绑搭子然后和其他人组建,再获得权益

这个一眼就能看出问题的活动和加一个解绑频率限制就能解决的问题,业务硬是不肯,整个业务以这个活动是目前的明星产品为由,生怕改动一点就会把所谓的拉新指标降低,也无比自豪这个活动带来的新人流量,殊不知有多少是因为年中大促的预热带来的

此后到8月,不论安全与风控如何展示灰产乃至普通用户利用这点,在闲鱼售卖权益及在网关日志留下来的请求流量的证据,也不论研发说恶意用户把活动接口刷爆导致客户端稳定性指标异常的控诉,也不担心和国家知名团体联动后风险被放大,一意孤行,直到9月,自觉要求把给予的奖励从会员权益改为虚拟货币(即使如此也有恶意刷取)

在此过程中,光我们就和业务讨论过四次,其中领导层参与两次,但当 CTO 出面也说服不了业务,只能让我不要再管此事时,我算是意识到了

从2月时的网关验签算法优化的否决,到更早老旧接口的垂直越权问题认为不需要讨论,还有现在的明明有问题,业务也不愿意更改,这种只要没有造成损失就不需要变化,无法量化资损就是没有损害,还未大量爆发还不为众人所知就不是风险的想法,就是目前这家公司对安全的看法

由此我不得想,一旦领导层发现问题的途径没有发现问题(事实上大多是靠观察闲鱼和用户反馈),是不是就认为没问题?当他们认为没问题的时候,安全工作的意义在哪里?价值在哪里?

如果是这样,别说安全建设了,产研内部的建设也将是巨大问题,一个只能疲于完成业务需求的研发部门,是无法成为为企业带来行业竞争力的动力的,要不然是我的这种想法错了

说到产研内部建设,年初老板们以今年外部竞争激烈为由,鼓励大家大小周,然后说加班的一天可以调休,导致很多人从周六周日双休变成了周日周一双休,或者周三或周四休息,我如此操作过后,被领导私聊说别周一就休,凑一下节假日放吧,其实言下之意就是希望你们周六的加班别休,理由是突然一天的调休大家会对齐不了工作

结果就是我从五一后大病了一场,快一周没有去公司,领导赶紧允许大家适当加班来公司,有没做完的工作周六来一趟,就这样原定实施到双十一后的大小周被大伙合力抵制了,结果就是年中的部门会议上,被大老板指出这一点,说产研的自我建设不够,被业务需求一昧的挤占了自我建设的精力、人力和时间投入,我本以为他要有高见了,结果他说“如果预留了20%的资源给自我建设,一旦业务需求超过了80%,你们不能让出这20%,而是应该加班去做……”,完全没意识到业务重复性需求难以复用的问题和不合理需求设立不改进的问题,更加证明了技术人员没有话语权的情况

我也是怀着证明自己是对是错的想法,去学习和报考的 CISSP,如果国际认可的安全管理与我所想的一致,那公司的现状就有问题,光我一人想去继续建设,反而会成为水土不服,适得其反,诚如是,尽我所能后,我也就该离开了,结果整个 CISSP 几乎都在谈论安全左移,一贯有之的想法和路线实践也让我顺利通过,从第一次开始看 Youtube 上的官方 8 小时课程,到9月底通过考试,不到5个月的半工半读

image

9.3 阅兵后,如24年9月至10月一般,今年我到访了海参崴,在 滨海远东之行(Trip Vladivostok)滨海远东之后(After Vladivostok) 有详细记录,此处就不再赘述,值得高兴的是,相比22、24年来说,这是我度过较为平静的一个国庆,还有丝之歌可以玩,我真幸运(怪物猎人荒野是什么路边?)

image

image

image

自25年5月以来,到现在12月底我敲下这些时,公司陆续离职了高层和骨干十余位,与我合作紧密的风控同事离职,内审同事被裁,明明这两位一位今年刚升职称,一位在年会上获奖,他们两合着运维同事今年都有了手下的跟班,而我还独身一人,直到今天,发觉他两都不在的运维同事还来问我:怎么风控和内审都走了,安全以后还弄嘛?有招人进来吗……我只能苦笑,和他略微解释

与我的想法相契合,风控同事认为后续不论是系统技术上,还是业务设计上,我们徒有职责没有置喙的权力,逐渐高层会认为没有风险,我们便越难以体现自身价值,不用谈晋升和涨薪了;而内审那边公司内斗的情况则更明显,很难不说是因为组织部的高层被挤走,连带清扫下一级,仅仅是出差过多这点怎么也无法服众(本来就要稽查全国各地)

2025年初,我感慨“山不见我,我自见山,清风隔江来,宛转入松关”,当时我的理解是,困难可能会很多,未知可能会很多,这一年的工作与生活慢慢地将踏入我以前没有的经验里,我需要去主动地解决和论证

而 Deepseek 给出的回答是:在不确定的世界中,不抱怨环境的冷漠,不陷入被动的等待,而是以清醒的自觉和积极的行动,去接近目标、创造联系、实现价值。它融合了东方哲学的韧性(如儒家的进取、道家的顺应)与现代心理学的主动性,提醒我们——真正的自由,往往始于“主动去见山”的那一步

回看这一年,从工作慢慢不被理解,不被接受,到我自己完成 CISSP,甚至重新开始画画摸鱼(这和我年初在鹰角网络填的期望如出一致),我自认为我做的不错了,如果抛去工作上的无奈和下半年开始的积极性低落,实际上25年比24年我接触的东西,参加的活动(不论是兴趣上还是工作上的)都更多一些,理应更充实,但到年底,到现在我却有些怅然若失,不知所措了

或许是时候该离开了,杭州是我目前国内给出最高评价的城市,这里的人文与自然的结合,传统与现代的交汇,在我去过的大大小小里独树一帜,我不会忘记在明真宫居住时,推门出去就是京杭运河的景象,春游西溪、苏堤渡船、吴山访城隍、柯岩探鲁镇,无不说明这是一处让我这个家里蹲也想出游的好去处

可惜,到头来还是没有一处容身,但,也不必过分难过

未完待续