我的开源故事:拿到证书是加分项

2023/10/09 21:00
阅读数 28


开源故事,讲述开源人自己的故事。


本期的故事主人公是 Linux Foundation 开源软件学园人才激励计划(开源安全大使类别)获得者高鹏。



迷你简历

姓名:高鹏

职业:安全研究员

喜欢的开源项目:DongTai IAST(https://github.com/HXSecurity/DongTai),CF (https://github.com/teamssix/cf),

兴趣爱好:旅游,风景,科技发烧友,安全技术


以下就是 Linux Foundation 开源软件学园与本期主人公高鹏的对话,也期待与更多开源小伙伴一起来沟通、交流。


1、首先请做个简单的自我介绍。


大家好,我叫高鹏,很荣幸参加这次采访,目前主要从事网络安全行业,常住深圳。


高鹏的猫猫


2、什么时间开始接触开源的,开源给你带来了哪些帮助?


从入行安全开始,接触开源,最开始连 GitHub 都玩不明白,也不太知道这个站是做什么的,只知道能下载一些软件,后来慢慢的随着学习越来越深入,了解到开源的精神,也看到了这么多开发者自发性的开源自己沥尽心血写出的软件,让我感慨万分,开源其实不仅仅只是为了我个人带来的帮助,对于很多刚入行的初学者,其实都会存在一些信息的闭塞,早期还能见到很多人拿开源软件进行贩卖,其实本质就是信息闭塞导致的,对于我个人和其他的初学者,开发者来说,开源能够促进技术的交流与学习,让初学者接触到新的知识面,开发者有一个交流的平台。


3、有喜欢的开源项目吗,简单介绍一下吧。


  • 洞态IAST


  • https://github.com/HXSecurity/DongTai


  • 虽然这是我所在职公司的开源产品,但在2年前,我在甲方时就已经开始使用和推动这款产品了,那时这款产品是0.8,0.9的版本,显得非常单调,从 UI 到功能,但好在漏洞检测能力不错,当时也参考使用过其他的 IAST 产品,但最终选择了洞态 IAST,也算是陪着洞态 IAST 走过了这么多版本(latest: .14.2),在安全行业商业竞争这么激烈的今天,还能够保持开源 IAST 产品,提供 DevSecOps 的 IAST 落地解决方案,一直耐心的迭代产品,解决跨微服务,RPC 等场景下的漏洞检测与微服务上下游关联,创新 IAST 与黑盒扫描器产品联动等,属实不易,好在洞态 IAST 团队持之以恒的心态,现阶段收到的客户反馈都相当不错。


  • CF


  • https://github.com/teamssix/cf


  • 这款工具是阿里云,腾讯云等六大云的 AKSK 一键利用工具,这是一位共事很久的同事写的产品,他也带我打过几次红蓝,技术上非常强,推荐这款工具的理由其实很简单,其实这个仓库已经下线,因为一些原因,但从技术上和开源的精神上,给这么多白帽带来了便利和学习交流的机会,现在的线下显得令人唏嘘不已。


  • js-cookie-monitor-debugger-hook


  • https://github.com/JSREI/js-cookie-monitor-debugger-hook


  • 这款开源工具主要用来监控、定位 JavaScript 操作 cookie ,也是一位共事很久的全栈技术大牛,他的主页也经常更新开源的代码,从他主页的 contributions 就能看出来。


4、使用过哪些开发工具,给大家推荐几个你喜欢的吧。


自己一直以来在用 JetBrains 全家桶,因为开源项目作者可以申请专业版1年,Java 主要使 Go 使用 GoLang,但也会装一个 PhpStorm,因为工作用 ldea,Python 使用 Pycharm,有时会涉及到需要审计 PHP 代码,或者 Debug,也尝试过使用 VsCode,由于习惯还是换回了 JetBrains 全家桶。


5、之后会继续参与开源吗,准备从哪方面入手?


会继续开源的,主要还是以文章和开源代码的形式,希望能帮助到更多的人。


6、你会分享自己的经验吗,一般在哪里分享?


博客:uzzju.com


公众号:uzju 的安全屋


看雪论坛:kanxue.com


目前主要会在这三个地方发一些自己写的文章,但由于工作的事情比较多,其实也蛮久不更新了。


7、很多企业会看重证书,你认为证书有必要吗?


证书肯定是有必要的,你可以很强,但需要顺从规则,虽然现实一点说,拥有某一个行业的证书并不能代表你真的能在这个行业平步青云或者对这个技术有很深的深度和广度,但这是一个给自己的加分项,如果时间和资金充裕的情况下,可以考取一些跟自己发展和行业相关的证书。


8、计划之后学习哪个课程?


目前有在学习 Kubernetes 基础课程(LFS258),并且学习完后考一个 CKA 认证,选择这个课程的原因主要是以前有断断续续玩过一段时间 K8s ,但是没有系统性的学习,选择该课程也是想系统性的学习一下,这套课程从基础开始讲,能让想系统新学习的人更快的接受,巩固基础,并且 CKA 的认证对于个人来说也是有帮助的。


9、怎么平衡工作和学习生活的,通过继续读书,你将得到哪些帮助?


工作和生活其实不太好平衡,我也经常晚上还在做工作的一些事情,其实这些事情完全可以明天在做,但总感觉拖着不太舒服,我对工作和生活的态度是,适当的休息和放松能让自己在学习和工作时更专注,我一直认为在工作中让一个人8个小时,甚至更长时间一直专注一件事情其实是非常难的,大部分的专注时间可能是在4-5个小时就会感到疲惫,此时如果稍微放松一下,下楼转转弯,会放松很多。


现在偶尔会看一些技术的书,但也是需要的时候会去看,更多的是看大佬们的博客和论坛,现在看的书籍更多是《博弈论》,《经济学基础》,《国富论》,或类似于罗翔老师的《法治的细节》,最近看的比较多的是《中国官僚政治研究》。


高鹏的猫猫


10、除了拥有专业的技术知识,在求职时,还有哪些因素是必要的?


沟通,这可能是很多应届生缺失的,我有面过不少应届生,在沟通上都有很大的坑,情商也占很大部分,另外拥有专业的技术支持当然是必须的,但能把技术描绘抽象讲给不懂技术的人听懂,才是有真正深刻的个人见解,另外是如果是应届生,需要尽早适应工作的环境和与人的关系处理,当然也希望都能找到自己满意和期望的工作。


转载自丨LFOSSA

编辑丨储黄蕾




开源社简介

开源社(英文名称为“KAIYUANSHE”)成立于 2014 年,是由志愿贡献于开源事业的个人志愿者,依 “贡献、共识、共治” 原则所组成的开源社区。开源社始终维持 “厂商中立、公益、非营利” 的理念,以 “立足中国、贡献全球,推动开源成为新时代的生活方式” 为愿景,以 “开源治理、国际接轨、社区发展、项目孵化” 为使命,旨在共创健康可持续发展的开源生态体系。


开源社积极与支持开源的社区、高校、企业以及政府相关单位紧密合作,同时也是全球开源协议认证组织 - OSI 在中国的首个成员。


自2016年起连续举办中国开源年会(COSCon),持续发布《中国开源年度报告》,联合发起了“中国开源先锋榜”、“中国开源码力榜”等,在海内外产生了广泛的影响力。



本文分享自微信公众号 - 开源社KAIYUANSHE(kaiyuanshe)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

展开阅读全文
加载中
点击引领话题📣 发布并加入讨论🔥
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部