网站漏洞测试从业务转向到研究分析

今年的工作重点是跟随团队的方向调整，从业务安全转向安全研究。说到安全研究，很多人想到的是分析漏洞，挖洞，写利用工具。当然，这是其中之一，安全总是与漏洞有着千丝万缕的关系，但漏洞只是结果，研究本身包括更多。在企业里研究其实有点尴尬。原本安全团队是企业不产生利益的边缘支持作用，忙的时候灭火，闲的时候背锅的安全研究是边缘的边缘，每天做奇怪的东西，不知道有什么用。最重要的是，对上司来说，没有量化研究性工作的好方法。

安全研究的表现成果分为两部分，一部分对外，主要包括刷漏洞/感谢，写技术分析文章提高影响力，写PR文章提高曝光度，另一部分包括在内，但业务方向本身也有自己的局限性。优秀的设计不一定是新的，但一定是好的，优秀的研究不一定是好的，但一定是新的。正因为如此，在企业中做安全研究有点像《进击的巨人》中的调查兵，不仅吃力不讨好，而且经常死在半路上。结果，大家面临的是荒芜的未知，没有人的境界，一条路是黑色的，还是马上停止损失？

既然是工作，就必须生产吗？无论是KPI还是OKR，都需要能量化结果的指标。优胜劣汰是社会不变的规律，这没什么好说的，任何评价指标都是双刃剑，在指标的压力下容易只关注结果。例如，挖掘脆弱性本身是寻找安全问题，但指标关注脆弱性的数量而不是脆弱性的品相，很多人有可能把软件的错误作为脆弱性提交。一旦只追求结果，人们很容易想办法抄近路。在抄近路的过程中，人们很容易迷失真相，他们的工作能力也会逐渐消失。虽然有很多吐槽，但是要做一行就要做，所以经常考虑如何做安全研究。研究二字本身包含了不可预测的投入，目标很重要。没有人能告诉我这个方向是否能做到。即使站在他们自己的角度，也许不适合你。

应用学术界研究的四个阶段:

第一阶段，在领导指定的领域做，不必考虑方向，只要把事情做到极致。

第二阶段，自己找方向，在领导的建议下筛选，最后选择方向取得研究成果。

第三阶段，自己探索方向，自己判断能做什么，自己选择的方向有研究成果，这个阶段完全独立完成，不需要领导的参加。因为比你知道这些领域的少。

第四阶段，带着第一阶段的人，指导他们取得自己的研究成果，也就是说让自己成为领导人。但是，社会和学校的大不同之处在于，很少有合适的领导人，大部分人都是自学才能，这也是安全研究和学术研究的大不同。漏洞本身随着系统实现的变化而变化，实现是工程化的领域，因此对安全研究更加赞同。