感谢我的老板们

有幸是在阿里扩招前,加入的。当时我们在西湖国际,安全组一个会议室就能装下,什么P7、P8、P9都是坐在一个会议室里。现在人太多了,高层可能很难了解底层的下属,很多新人估计都没有那时候“创业公司”的体验了。

在阿里,正式的老板就有过5个。虚拟团队、虚拟项目里面汇报的老板,我都数不过来了。感谢每个老板对我的培养,影响至今。

报告

实习的时候,是在肖老板底下做安全产品技术运营,肖老板非常重视报告和产品技术运营。
 我第一次发的安全测试报告,只有漏洞链接,连修复方案都没有。被打回重写。
 xinyong师兄给我,他的报告当模版,后面我花了一个晚上,写报告。最后这份报告,变成安全产品技术运营组的模版。
 再到后面,写的双11方案、产品技术运营报告、周报、应急响应报告、会议纪要、……,都成了模版。

解决问题

后来,划到了敏哥底下。
 因为实习的时候,很长一段时间,只有我一个实习生。所以就各种师兄的活,都干。当时心里还有点小抱怨,经常找敏哥说,事情很多。敏哥是第一个跟我说要学时间管理的,而且我也发现敏哥的思维方式,都是以解决问题的角度出发。
 每次我抱怨,敏哥就在想办法解决问题,并且他也真正的解决了我们的问题。我记得我实习的时候不懂事,抱怨过我们没有好用的代码审计产品,敏哥反问我,“我们是不是需要一个代码审计产品来辅助工作?” 后来我再回来sdl团队的时候,这个代码审计产品就已经有了。
 现在想想,应该趁着年轻多学习、多帮忙。做事学东西的时候,就不要太精明,踏踏实实的做。
 遇到问题,与其花时间抱怨,不如多从解决问题的角度去思考,想办法把问题搞定。甩锅、抱怨都不是close问题的方法。

凡事有交代,件件有着落,事事有回音

阿里的安全工程师,都是解决某个问题,然后负责到底的风格,我一开始也不适应。经常就是报告了漏洞,就不管业务方是否修复。然后漏洞又被外面利用了。敏哥当时是直接坐到我旁边,问我的想法。后来我觉得实在惭愧,写了邮件检讨。

我也有因为忘记跟进一些项目,影响了进度,被投诉的时候。但那都是在刚工作的时候。感觉自己估计在实习的时候,把该犯得错都犯过了。

后来,基本就是按公司、老板要求来。如果没有平台支持,就先人工维护起来,反正要保证结果不出问题。对自己影响比较大的事,我也会帮一把平台建设,有时就把产品经理或者PM的活做了。

创业者思维

实习的时候,还是一种迷迷糊糊的感觉。真正开始有种实战的感觉,是在suddy底下,suddy可以说是“手把手”教我了。(至今这份能力都是独一无二的)
 第一年,有幸被分到了suddy底下,负责反欺诈-人机识别产品。其实这个产品算是公司内部的创业产品,14年时候,中国基本上还没有成熟的反欺诈产品。我们团队算是签了军令状,一年内必须上线产品,这一年内还要稳定、有效地渡过双11(我们内部称双11叫“大考”)。

一开始,suddy团队,只有3个产品技术运营和半个开发(甚至后面开发还离职了)。这种资源,加上一开始我们自己都还没想清楚要怎么做。一年做出达到可售卖要求的产品,基本可以洗洗睡了。但是suddy还真是带领我们成功拿到结果了。现在回想起来,确实很厉害。

suddy经常找业务方、合作伙伴、还有我们(因为我们是帮他做具体实现的资源),聊天、谈需求、谈产品设计。
 有好的想法,或者从其他团队那边了解到什么信息,就会跟我们讨论、分享。(suddy可以说是安全部各种小道消息的小灵通)

有了想法,我们团队没有开发资源实现。suddy就鼓励我们自己做,确定好方案,缺什么资源就暂时自己先做起来(研发、产品经理、产品测试、……)。包括他自己也是这样,很多东西可能自己就先做起来了。suddy跟我们说,只有老板看到这个产品有效益了,才会持续投入资源。只有产品做好了,资源才会越来越多。有些可能是一开始先透支信誉,要到了很多资源,但是如果没做好,资源后面也会越来越少。

产品有了进展,suddy非常重视发产品报告。一开始我们关注的产品视角不是很好。甚至很多产品报告,是他给我们先出的模版,后来也领悟到他的思考方式。

suddy经常给我们交流,遇到什么困难。他都牵头或者鼓励我们去解决它。我甚至都觉得,我们觉得是困难的东西,在他眼里都是可以解决的,在他眼里不能算是困难的东西。哈哈,后面我也找到这种感觉了。

现在回忆起来,很感谢suddy愿意把双11大考的工作交给我负责。说实在话,那个工作确实超出了当时的能力。安全部双11组的人,基本都是P7、P8,工作了很多年的,而我当时还是一个工作一年不到的P5。可能真是因为超出了能力,所以一开始都是suddy亲自带着我一起做,“手把手教”。做调用链路分析、数据分析、流量预测、跟合作方谈方案、出方案、谈判、……
 当时觉得确实很有压力、也有难度,但是经历了这个事之后,感觉后面做其他事,难度都不算太大了,似乎有种做事套路。经历过这件事后,对阿里的各种中间件、全链路上的系统,也突然感觉熟悉起来了。

当时一边阅读了《淘宝技术这十年》这本书,一边实践,受益匪浅。推荐所有负责双11的阿里技术人员都应该阅读一下这本书。这本书我看过两遍,第二次看又有一些新理解。当然书里的一些架构,可能在新的业务场景下不适用了,但是架构核心思想、还有当时那波技术人员的赤子之心,还是很有感染的。

坚实的后盾

suddy是个非常好的领导,只可惜我感觉反欺诈不是自己想做的事。在反欺诈领域,甚至自己对未来没有什么规划。很怕自己变成只剩下工作而没有梦想的人。
 所以后来我就转岗回到了SDL团队。其实那时候决定转岗的时候,很多安全部其他团队的leader也让我去他们团队,包括ASRC团队(Alibaba Security Response Center,因为我也曾是ASRC起步期的安全工程师之一😄)、刺总的安全产品经理团队(可能被suddy带的产品思维比较好了)、主机安全团队(因为我在学校的时候,主要是偏运维安全的)、阿里云SDL团队(可能我在阿里的第一个团队就是阿里云SDL团队),还有包括其他业务方的团队(产品经理、测试、……)。

到了SDL团队后,老板是XiangRong,他非常鼓励、支持我,包括敏哥、黄老师也是非常支持我。甚至都完全超过自己的预料。
 XiangRong,非常支持下属,我们遇到问题,总是冲在前面帮助我们解决问题。
 很多技术人员,不愿意跟非技术人员合作,甚至很抵触。我想到了一个好方法就是换个角度,向对方学习,比如跟法务的人合作,你就跟他了解法律知识。跟警方合作,就了解警方的工作。跟业务安全人员合作,你去了解他们的背景,其实你会发现,他们本身很多都不是计算机专业的,那为什么要用技术高要求别人呢?如果你会这门技术,为什么不用你的技术来帮助他们,或者教会他们,让他们来辅助你呢?在我看来,他们也有很多自己的优点,很爱跨界学习、组织能力很强、项目管理能力很强、沟通能力很强,甚至可以跟技术人员的能力互补。换了一个角度之后,其实合作起来,还是蛮有奔头的。

后来到了奇哥团队,在奇哥团队,我真正的想清楚了SDL应该怎么做,甚至摸索出自己的一些方法。

敏哥,还是向以前一样,总会以另外一个角度,开导、点醒你。因为我第二年转岗到了sdl团队,我总觉得自己像是欠了一年的学习机会一样。宁愿做事后,送别人kpi,也不太情愿把时间花太多在owner事情上。敏哥跟我说“如果你在一个项目里面投入了很大一部分的工作量,最好把这个事情owner起来,争取拿到这个结果。”、“虽然做技术的人大部分比较淡泊名利,不在意最后的绩效,但是大家总在意公平吧。不想最后辛苦了一年没升职、加薪,但是周围同级的小伙伴都升职加薪了,甚至有可能别人还没有你付出的工作量大。” 这话真的很触动我。
 敏哥,也默默的帮了我一个很大的忙,我都是从别人那儿听说的这个事。敏哥,从来没有提起过这个事,但是真的对我帮忙非常大。

还有印象很深刻的是黄老师,刚转入sdl团队的时候,因为我的一个决策失误,让黄老师帮我背了一个锅。(我们都是一个人负责一个或多个事业部,所以经常要做安全决策)
 业务方的老板电话都打到黄老师那里了,我是听说了这件事。但是黄老师从来没跟我提起这件事,反而一直很鼓励我担当起来。跟我说的都是“漏洞不能只做黑盒测试,一定要追溯到代码层面。” “安全规范/指南,写好了,要对照着业务场景,验证你写的内容。” 黄老师,总是跟我们说“我们现在是农耕时代跟大数据时代并存”、“先把公司内部安全做好”。很难想象一个P10的人说这么诚恳、接地气的话。
 可能后面受黄老师影响比较大,做事情比较认真,至少不要再决策失误,让大老板背锅。出乎意料的是,黄老师,还在开大会的时候,说让管理层向我学习。

还有很多虚拟项目的老板,像是拓哥、大牛、鸟哥,都是非常靠谱。拓哥、大牛,还带过我们,是非常好的师兄。大牛、鸟哥,经常被我骚扰,讨论解决方案。

感谢我的合作伙伴们

文档沉淀

说起这个,有点委屈。我可能是阿里安全团队扩招前的第二个实习生,当时安全部也是很缺文档。
 我也深刻的明白新人的这种痛,所以后面自发加入了新人landing项目(这个工作不算KPI的),编写新人技术文档等工作,自己平时工作中也主动的写一些文档。
 但是我曾经交接一份文档给另外一个社招同事时,差点没被责备哭了。因为交接文档写的不清楚,加上我当时口头表达能力也不好,所以被同事责备了。
 当然我没有哭,只是觉得很委屈。觉得很委屈的是,自己刚来的时候,也是什么文档也没有。现在大家使用的文档,大部分也是当时做新人landing项目,我们这波人一起写的。工作的文档,也都是自发写的。当时我知道我当时工作经验不足,确实也不知道交接文档要怎么写,自己躺过的坑,确实不应该再让后人再走一遍。那个同事确实也给了我很好的意见,影响我至今。

一开始表达能力不好,敏哥跟我说,“讲不好,先写好。多写,先把书面表达能力练好,后面慢慢把口头表达能力提升起来。” 敏哥,也推荐了我们《金字塔原理》,这本书算是我们团队里面,每人必读的经典书籍之一。

在SDL团队的时候,因为 阿里的平台事业部 比较大,所以原来是两个人负责的。后来跟我一起负责的师兄离职了,离职的时候,什么交接文档都没有。后来我一个人撑起来,我相信这是一个机会。

意外的结果

后来我离开了阿里,我可以选择不留交接文档,因为没有人逼我做这个,但是我真的不想这么做。“己所不欲,勿施于人”
 我还是选择把交接文档写了。并且我很早提了离职,其实是想早点做工作交接,但是大家实在太忙了,当时手上还有一个很重要的项目,我还是把弄完、弄好了再走的。而且当时知道自己要走了,反而把项目做得更好了。
 业务方的老板给的评价是“超出预期”,确实是这样的,其实我顶了很多压力。业务方,在我刚接手项目的时候,就给我打预防针说“安全漏洞可能不会优先处理”。我知道这种情况,只要安全这边一放松,基本就会应验他的话。所以包括安全产品支持,都是自己去谈资源。故意把安全漏洞数放到项目组的bug电视墙(这个本来是放测试人员找到的bug数),天天让他们看着这个安全漏洞数量(估计当时测试负责人好想打我)。威胁建模、安全测试、代码审计,我都做。(研发小哥,都被我吓到了,说我review代码太认真了)最后200多个安全漏洞,全部按期修复。无法修复的,都跟业务方谈好了后续方案。而且奇哥当时很担心我拿不到绩效,做项目的同时,还在想怎么往安全建设上面靠拢。幸好奇哥提醒我,最后抓到两个点,做测试人员的安全培训、还有安全库产品输出。

现在回忆起来,这个事,也是挺奇迹的。当然要感谢各方的合作、支持。

  • 项目主要成员有80多个。
  • 研发+测试+安全,总共只用了1个月时间完成。
  • 方案设计+产品需求设计,用了差不多3个月,开了好多会。
  • 安全这边:主要安全工程师1个,研发1.5个,其他角色就是各种借资源。这个我觉得我是没有做的很好,应该找老板明确下来谁要支持。但是我不知道为何我借资源,一直都不是很困难,好像又用不着向老板请示。
  • 安全产品:对外使用的安全库,半个月不到开发完成。从B2B借了1个开发,再加上安全产品1个研发。然后我兼职做产品经理和PM。
  • 安全测试培训:测试人员都是来自不同团队,确实比较难要求全部完成培训。但是完成率也达到了75% (当然主要是有几个人一点进度都没有,因为这次项目太紧,所以这块没有太追进度)。有些安全测试人员,项目结束后,还写了安全测试总结在自己团队做分享。
  • 在这个项目里面,其实我威胁建模、代码审计、安全测试,人工和半自动化的都做了。当然我知道自己还有不足,当时还内部写了邮件反思,但是现在已经没有当时的那个问题了。
  • 半个月不到,一个安全工程师,推动200多个漏洞修复。而且业务方从一开始打预防针说“安全漏洞可能不会优先处理”。到最后两周,看还差一点漏洞没修复完,项目大老板和测试负责人都主动发邮件明确要求按时全部修复包括安全漏洞。(在中国互联网公司,推动漏洞修复是比较难的事)

反正走的时候,至少留了一个美丽的背景。

合作

合作,我是在小叶团队学会的。因为安全团队位置不够坐了,所以我很长一段时间是坐在账号安全研发团队,小叶团队。
 我旁边坐的就是MTEE之“母”(规则决策平台的架构师、创始人,他是男的,但是我们都叫他“MTEE之母”)。
 我跟小叶团队的合作也很多,就想多了解一下账号安全产品,他们就让我参加团队周会。

我觉得小叶团队,估计是整个安全部,最辛苦的研发团队。从早到晚,研发背后都站着一排排PM、PD、运营。但是这么忙的情况下,找到他们做需求,他们不会推卸责任,总会想到办法帮助,或者给你指一条明路。博哥、炅哥、涛哥,教了我太多了。包括后面大家对我在账号安全方面的能力很认可,很大一部分原因,都是因为这段经历。

SDL团队,估计是整个安全部,最辛苦的安全团队。有义务解决业务方的安全需求(包括灰色地带,在KPI压力下,很多团队都不敢碰的)、想办法优化日常工作,同时背着绩效压力还要想怎么跟安全建设挂钩。

还有一个印象非常深刻,就是B2B事业部的人,非常懂合作,而且很多事情都是自驱。印象中找B2B的合作,做事情是最顺的,安全团队也没少向B2B借人。和B2B的几个leader合作过,发现他们的做事风格都是非常认真,主动、自驱,还带领着自己的团队也这么做。
 还有一个B2B的很敬佩的人,就是海涛哥。一起负责双11项目的时候,经常给我们讲解架构到11点、12点。找他讨论什么问题,他都帮忙一起思考。不会觉得这个事无关,就不管。海涛哥,非常热心,经常在各种产品文档里,看到海涛哥的留言。阿里大学“阿里内部培训平台”,也看到海涛哥发布的培训课程。

讲真做过很多不算自己KPI的事,算是在合作方那边积累了很多影响力吧。后面真的要做什么事的时候,合作方都是鼎力支持,直接投人力资源进来。

自己的风格

我知道老板可能觉得我性格不够强势,但是我觉得强势可能不是自己的风格。
 强势可能会帮助我拿到结果,但是我用自己的风格,也能拿到结果。那为什么不发展自己的风格呢?

我也知道,自己可能太热心帮助别人,会比较吃力不讨好。可是我看到过HR坐在楼梯间哭;看到小叶团队的开发经常帮别人做需求加班到凌晨,还不算自己KPI;看到海涛哥经常无私给我们讲解架构。后来想想要是能帮别人,为什么不帮一把呢。

随便想想

默默无闻的做事

以前在学校的时候,比较害羞。比较喜欢享受做事的感觉,当时一直默默无闻的画班级黑板报和楼梯间黑板报。博主是直接拿起笔就画,不是照着“黑板报大全”画。可能比较爱看动漫吧,图案都在自己的脑袋里。然后同学推荐我当宣传委员,但是博主很害羞,觉得当了宣传委员,有压力了,反而画不出这些画了。就推荐了另外一个好朋友当。
 运动会设计了班徽,画好后,在淘宝上做成成品,几乎达到了商业水准。老师、校长,都争着要班徽成品。
 很喜欢化学、生物课,爱屋及乌的,很喜欢化学、生物老师,默默的不留名给老师送教师节礼物。
 好吧,博主以前就是这样一个少女~~~

大学

真正开始有些转变,做一些leader的事。是在大学动漫社。当时其实更喜欢做事,享受完成一件作品的成就感。
 起因是前任部长,免费教了我们很久的日语。换届交接的时候,前任部门推荐了我当部长。出于感激部长,所以勉强接下了下任部长职位,但实际上那时候我内心还是更喜欢享受参与的过程。
 后来,担任动漫技术部部长期间,发现很多成员,比较宅、懒,只是把动漫当作娱乐,混日子。
 (博主曾经在中学的时候,也是只把动漫当成娱乐。可是当时一起的小伙伴,在大一的时候就已经开始出自己的动漫杂志“同人志”了。博主比较后悔当时没有珍惜好时光,认真的学技能。还有包括黑客技能也是,其实博主在中学的时候,一起玩的小伙伴里面,就有做黑客的。但是博主当时也只是把这些当作娱乐,当时从来没有好好认真的学习。真的蛮后悔的,如果……,但是没有如果。)

出于这份感受,不想让这帮社团的孩子再布我的后尘,所以在技术部里号召成员。当时的口号是“要宅就做技术宅”。
 了解他们对什么感兴趣,鼓励他们感兴趣就去学习。如果他们搞不明白,我就去学了之后,分享/培训他们。所以当时就是各种东西都在学,日语、海报、game制作,同人志(杂志)、画板、……
 遇到什么单点问题解决不了,我就帮他们突破。反正安排的任务就是一定要做完,不要半途而废。
 画师组的负责人是我重点培养出来的,所以最后画师组也被合并到了技术部底下。(画师是动漫社很重要的一块资源)

终于不负有心人,至少当时看中的下任候选人,都是非常靠谱。继续把海报、游戏制作、日语,传承下去了。并且下届技术部成员报名,名字写满了一大半黑板,还把其他部门的位置都占了,报名人数达到了动漫社的一个记录。然后当时大家推荐我上去讲话,但是我依然还是那个很害羞的妹纸。我都紧张到不记得当时自己说了什么了。

公司

以前是有已经带领大家做成事情的经验,但是性格还是很害羞。所以到了公司的时候,我老板也说我,人多的时候就容易怯场。
 在甲方做安全工作,这样的性格,是比较吃不开的。而且作为一个公司新人,很多时候,你的业务方都是比你工作时间还长的“老员工”。所以树立自己的影响力,做正确的事情,不要害怕挑战权威,但是又要给别人留足脸面,就很重要了。
 我觉得有两个点,转变点吧,在公司的时候。
 第一个就是在suddy底下的时候,观察、学习suddy的做事方式。
 第二个就是在XiangRong底下的时候,XiangRong、敏哥、黄老师,全部都很支持我,一下就感觉自己背后有一股力量。

现在就是角色切换的状态,平时没事的时候,就是保持自己原来的样子。一定要拿到结果的时候,就用suddy跟别人谈判“无敌”的感觉,鼓励自己往前冲。