请教安全开发职业前景?

2019-03-17 15:27:14 +08:00
 sunriz

LZ 算是应届。投的某公司 C++开发,后来转到安全开发的部门,说主要是做安全工具这些。

我以前没考虑过安全相关的工作,主要希望能做用户规模比较大的后台开发。目前也不清楚所谓安全工具开发是什么样的。

但是这个公司在安全领域据说很强,主要做网络基础设施。也有学长告诉我工作前两年开发各个方向需要学的基础都差不多,先学好基础。

另外也可能去一个小公司做后台,工作环境就很难说了。

主要想请教各位安全开发对工程能力的锻炼怎么样?因为有人说做安全很容易成为脚本小子没什么开发能力,我想如果是做工具的话是不是会好些? 搞这个是不是一个好机会学习系统层面知识的机会?如果去了以后觉得不喜欢,还是要考虑转方向的成本了。

4241 次点击
所在节点    C
20 条回复
hujianxin
2019-03-17 15:33:35 +08:00
听说做安全的是程序员中最赚钱的方向之一?没求证过
sunriz
2019-03-17 15:39:17 +08:00
@hujianxin 但是至少我找的这个公司工资比较低,校招工资大概是一线大厂两三年前的校招水平
Greenm
2019-03-17 16:19:44 +08:00
安全开发更多的是培养安全相关的知识,需要工程能力,但是培养的话不好说,看具体项目。
如果考虑往安全方向转的话,还是可以考虑的,钱不少,当然兴趣更重要。
busfool
2019-03-17 16:29:49 +08:00
感觉听的比较少,就业面应该相对前端后端移动端嵌入式这些窄
tcdh
2019-03-17 17:03:08 +08:00
我做了两年 linux 平台的安全开发(基于 netfilter 的防火墙),主要是写内核模块+小部分脚本。对 OS,网络,linux 系统都要求比较了解,也学习到了很多东西。但是我不是特别清楚安全工具开发是什么意思..我们用的现成工具都是开源的,可能是大公司独有吧。这行需要注意的是转行选择的机会相对窄一些,可能 c++服务器开发共同点多一些,其他感觉都一般。另外真没觉得有多赚钱。
udev
2019-03-17 17:11:10 +08:00
非常好,关键得是:懂安全的开发,否则安全跟其他业务没什么本质区别,像一般主动产品以及防御产品必须有安全功底,要是那种聚合类的什么态势平台 /SOC 平台基本就是搭积木,跟安全本身没太大关系,现在我们安全行业最大的难点就是,招不到懂安全或者说了解安全的人做安全开发~:(
dabang007
2019-03-17 17:22:50 +08:00
确实不错,我也在往这个方向转
davie
2019-03-18 00:20:09 +08:00
啥公司啊?
Cloutain
2019-03-18 10:00:32 +08:00
安全行业早过了风口浪尖的时候,14 年时你入行干 说不定能捞不少钱,如今也就那样。 当然 任何行业只要认真研究,都能有好的收获
sunriz
2019-03-18 10:43:54 +08:00
@Greenm
@tcdh
@udev
谢谢,有了个大概了解
PikuYoake
2019-03-18 10:44:11 +08:00
目前安全从业(甲方渗透方向),正在努力转向安全开发。
从目前形势来看甲方安全最后势必会转向安全开发,大量内部渗透都被乙方承包(术业有专攻),留给甲方只有运维和开发俩种方向。所以,你懂的。。。。
还有就是(不知道是不是只有 我司是这样)安全人员挖到洞,不算 kpi。。。只有代码才算。。。。所以你懂的,不想领导一言堂,就只能尽力写代码。
目前了解到的,拼夕夕和头条、商汤这几家全面招安全开发了(确认拼多多只招安全开发)
sunriz
2019-03-18 10:45:12 +08:00
@Cloutain 我总觉得提不起什么兴趣,,打算还是先再看看开发的工作吧
sunriz
2019-03-18 10:53:17 +08:00
@PikuYoake 感谢前辈。请问安全开发技术通用性强吗,我其实本身对安全不感兴趣,对开发更有兴趣。如果去做了安全开发,以后转服务器后台成本高吗。找个小一些的公司直接做服务器,和去这个中等规模的公司(体制什么的更完善),哪个更好呢(实际上目前这个公司工资也不高)。
sunriz
2019-03-18 10:56:24 +08:00
@tcdh 请问前辈,如果像我对服务器更感兴趣,要不要直接选择去一个更小的公司做服务器呢。目前主要看中这个安全公司的环境和制度什么的,我猜测可能会对刚入行的我有些影响。
GeruzoniAnsasu
2019-03-18 11:03:13 +08:00
看要做什么东西了
要做成能卖的成熟产品,无论哪个模块都是几十万行级的代码,就算只写 C++,也能涉及到各种复杂的数据结构、数据库、异步,甚至各种网络协议

你要是觉得给 Nginx 写插件或者写 dpdk 网络驱动不能锻炼工程能力的话,那建议培训班三个月速成出来搞微信小程序
GeruzoniAnsasu
2019-03-18 11:15:45 +08:00
我可以大概说说我司现在的产品 c++都做了啥

* 一个可以处理上下文相关语法的自动机生成器
* 为攻击检测研发的一系列微型编译器前端,用来 parse 各种语言下( php sql js java 等)攻击 payload 的语法
* 流量镜像驱动
* 日志统计数据库中间件
* ngnix 流量转发的插件
* 一套集成了自动检测、ACL、自定义规则拦截等各种功能的引擎


当然以上有些部分是纯 C 的,还有些是混了 golang 什么东西重构的,但都是熟悉 c++能直接上手的子项目
Greenm
2019-03-18 11:24:05 +08:00
@PikuYoake #11 这里我想提一下我见识到的不一样的情况。

我主要是做红队方向,但是也在甲方待过,也有一些了解。 中小公司确实和你说的差不多,大公司的话是有专门的红蓝对抗部门的,而且 KPI 就是挖洞和拿权限,因为不是所有的内网环境都放心让乙方进去一顿乱搞的,据我所知华为 360 腾讯都有这种岗位。

另外甲方也有一些其他方向的安全岗,数据分析,威胁溯源,应急响应等等,非技术向的甚至还有合规,培训之类的岗位,方向很多,当然这些岗位一般都比较高级坑也一般仅局限在巨头公司。
PikuYoake
2019-03-18 12:56:11 +08:00
@Greenm #17 红队和其他的类似数据岗,不具备普适性啊。目前就几家大厂,转岗和跳槽都不是很方便。都不如安全开发的需求量来的大。。。(菜鸡愚见 /dog )
@sunriz #13 15、16 楼的建议非常好,我也建议具体去和领导谈谈目前在做的产品和你想做的产品才是根本。当然如果只是锻炼能力的话,安全开发和普通开发也只是写的代码的功能不太一样罢了 //牵扯一点时间去学一下安全的相关知识这点是没坏处的
wangkai0351
2019-03-18 14:16:18 +08:00
不太懂安全开发, 我去年校招时投了各种乙方公司的安全研究员岗位,虽然 offer 很多,但是都放弃了。
在这些安全乙方公司,安全开发应该是负责产品开发的核心业务逻辑模块,较多地和操作系统、数据库、网络这些底层 api 打交道,这些上面老哥都说了。
sunriz
2019-03-18 15:28:56 +08:00
@GeruzoniAnsasu
@PikuYoake
@wangkai0351
感谢指点。我确实应该直接去问问具体做过什么

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/545494

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX