我原来说过如果一个公司三四年的时间没有给我升职,我就需要考虑另找东家了。我在现在的位置上差不多呆了三年半了。特别是今年的奖金比去年少了一半。虽然有公司业绩的原因(毕竟股价跌去了 80%)。算下来大致也是该考虑离开的时候了。我目前的判断是如果我不主动离开,大概率我不会被裁掉。这里面的原因说来也很简单:从组内的人员构成上来说,我所表现出来的能力刚好是组里面其他人所没有的。在没有直接竞争和冲突的情况下,仅仅是因为内部矛盾和相互看不顺眼,丢工作的可能性不大。从公司的层面来说,公司的现金流一直都没有问题。短期内裁员的可能性并不大是一方面,另外,毕竟真正懂安全的人并不多,在组员已经很少的情况下,基本的队伍还是要维持的。最坏的情况是今年年底之前,如果公司股票没有变化的话,也许明年年头就是裁员的好时机,毕竟,每年四月份要发一次奖金。在出血之前裁掉一些人,大概率是符合公司利益的—-当然,我所有的推测都可以是错的。毕竟身为牛马,被裁掉并非我自己能够做主,所以这种预测对别人并没有什么太大的借鉴意义。主要是给自己出一个时间表,自我警醒一下,做好心理建设,免得到时候心理上的落差太大。

虽然我并没有打算离开公司,但是最近有一次机缘巧合的机会,我仍旧是去面试了一次。职位是’Principle Security Engineer’。同样也是上市公司。规模和我现在的公司差不多。然而我这次面试却是失利了。虽然我并不在意这个结果,也不觉得面试我的人有这个评判我的资格。但是失利就是失利。必要的反省还是应该的,每一次挫折,都应该是我往前走得更远的一次指引。

首先需要反省的是我的态度。在面试之前,我其实是非常轻视这次面试的。我觉得面试的岗位和我每天在做的事情高度吻合,所以没有太多的要准备的必要。我觉得我脑袋里面就有“太多可以讲的东西”。结果面试的人问的全是一些基础性的,相当于入行 2-3 年的技术人员需要知道的细节。而我恰恰很久没有接触这些细节了。猝不及防之下,我的答案漏洞百出。事后回盘,我觉得虽然这些面试的题目和面试的岗位并不吻合,但是我回答得太糟糕,也是不可以原谅的。面试准备不足的的确确是我的问题。放在以前,我断然不会不去复习这些基础概念。我这次失利,首先应该是我自己的态度不端正。

其次是计划不周。这个计划,除了前面的技术内容方面的温习之外,另外一个就是没有准备好自己对自己的规划 — 具体来说就是没有为这次面试做好心理上的复盘:包括自我定位,自我计划,如何让自己契合到对方的需求里面去。没有让自己以更合适的方式呈现在对方面前。人才市场上,我就是出来卖的,是来找东家的。心理上表现得自己有底气当然没有错,但是如果语气上先是有恃无恐,而后结结巴巴,就是表演水平和心态的问题了。如果我自己都不能显示出诚意,信心和勇气,我如何才能将自己推销出去了?

我其实很少自大,但是这一次在这个问题上栽了一个大大的跟头,的确是我自己的问题。面试失败之后我情绪低落了一个星期。无论我如何推卸责任,自己终究是主因。我的情绪直到三天前才真正平复下来。平复下来的过程其实是一个恢复自信并伴随着寻找自我突破口的过程。

从好的方面来说,我在目前这家公司的能力提升是明显的,但是偏重于架构,组织,职能,管理,和设计层面。我的理论认知得到了系统性的提升。我以前不够清晰的概念,在过去几年的实践中得到了全面的检验和完善。其结果就是我形成了自己系统化,结构化,完成了理论认知上的升华。从这点来说,我具备了驾驭安全管理的职能部门的能力。这也是我在面试之前信心膨胀的原因和底气。在方向性的把握上,我比别人认知更加深刻。这一点,毋庸置疑。不需要因为这次面试的失败而自我贬低。

但是,在具体的方案实践上,我仍然不够坚实,或者说没有什么让人印象深刻的特长。我什么都能够上手,但是又什么都不够精通。我其实了解自己的问题。如果抛开架构性和管理组织性的路径,过去三年里,我一直在寻找,但是我并没有找到一个合适让自己专研下去的方向。

展开来说,在具体的专业方向点上,最能够让人信服和接受的自然是渗透式测试。但是我自己一直都没有系统的研究过。而且它的门槛其实很高。而过去三年,我一直都没有机会专注于某个具体的实践。我去年尝试过往这个方向深挖一下 — 毕竟我了解自己的问题所在:构建 payload 的时候思路不够开阔。这项能力和经验直接相关,需要长时间的积累。而传统上,学习这门技能其实也是师傅带徒弟一个一个带出来的。从来都没有捷径。我尝试了好几次,但是也很快就放弃了。就目前而言,我估计这条路仍旧行不通,即便是有 ai 的加持。

退而求其次的能力是 threat modeling。这一点我问题不大。实际上,我已经非常精通,也是我在这里和任何其他公司都能够混下去的底气。就这点而言,我倒是没有什么需要加强的。但是我需要更多的支撑点。

这次面试中的一个问题是代码审查。问题很简单,而我居然没有一眼看出问题所在。事后复盘,我觉得这是我不应该失误的地方。特别是我这段时间连续做了两个代码库的审查,虽然我对自己审查的结果并不够满意。综合来看,我觉得代码审查算是一个我已经掌握了大的方向,可以短时间出成绩,然后是可以提升能力和知名度的一个途径。上周我测试了自己的一个基本想法。原本预期可以马上得到一个不错的结果,至少是方向性的。结果大失所望。看来这个问题比我想象的要难很多,并非一蹴而就。思考再三,我仍旧觉得这应该是可行的方向。短暂的尝试没有结果,并不算太意外。只能说还有很多需要专研的地方。继续往下走就是了。

回到开头,如果要说收获的话,找到了可以集中精力专研的专业子方向算是这次失利最大的收获。我希望接下来的三个月里面能够有点像样的东西出来。以后就要靠它吃饭了。

这算是一个阶段性的反思和复盘吧。