项目进度 [okr]
okr,从国庆前一周,到十月二十几号,定完。
评审期间,各种需求、方案、可行性分析的敲定,也基本按照预料中的排期走。
理论上OKR没定完,就没有要做的事也没有排期。
但OKR制定和评审的流程也挺长,真等到OKR都评审完了,可能一个月就过去了。
所以把各种需求和方案也算到产品的排期中吧。
项目人员
团队人员+1
从5人-6人
多了新的开发
校招生的培养
如果不给新来的人规划一个方向,一个劲的把活推过去,很不好(想起了大四时给师弟们写的一些学习计划和发展规划,所幸最后都有个好结果,说实话站在稍微高的角度上,也许花费半小时一小时整理的思路,就能给到别人很多的帮助)。
之前写个一个文档和他们说了一下,大概分析了接下来半年一年两年个人要发展的方向和能力。
个人认为一个安全产品里有几个能力:
安全技术运营:
安全产品的规则编写能力,主要还在于安全。每种安全产品要求的安全能力有些不同,如HIDS是主机方面的,黑盒是自动化漏洞检测能力,白盒是漏洞挖掘的能力。同时要知道漏洞怎么修复、怎么去推修,理解业务线的代码是怎么写的。
在扫描器上,就是安全能力的深度,通用漏洞的原理、检测方法、防御方式,特定框架漏洞的原理,如fastjson全版本的原理,struts的原理等。以及其他跨能力检测的方法(结合HIDS/DBAsql日志/侧信道/IAST等来检测)
开发:
理论上在方向职责划分后安全是不需要开发的,但是要走的远,安全又需要有开发能力,能够理解实现方案、对实现方案提出自己的想法。所幸毕业前两年写了一段时间插件后,因为人不够,做了大量的开发(基本都是开发的任务),对引擎、平台的框架、整体的流程和细节功能的实现比较熟悉。但现在划分的比较明白了,安全的新同学应该争取一些开发的机会,同时周会和各种评审上的方案也尽可能理解吧。
安全产品:
个人看法是发现问题和解决问题的能力。这也是甲方基建最重要的能力吧。
业务问题上,如业务线反馈的qps过高问题,怎么去整体的限制;针对脏数据的问题,有什么好的解决办法;流量过大的问题,怎么解决。
检测能力问题上,没有回显的命令执行,怎么构造检测流程;内网无回显ssrf,怎么自动化检测;sql注入怎么在不发送大量请求的情况下,有更好更准确更无害的检测方式。更多的是跨能力检测方法。
做好这些,往项目负责人的路上走,最好有个高级/资深开发的水平,否则流程不理解,数据怎么走不知道,比较难定好各个方面的需求流程和方案,很难去衡量需求和成本的问题,也比较难看到引擎中的深入的功能点。
另一方面,之后的方向可能是:
1 红蓝 深入攻防和研究
2 问题解决方案(产品) 发现问题解决问题
3 运营 专门写规则
甲方的精髓还在于问题解决方案上。
总的来说
总的来说,从今年开始,随着大团队的发展,项目组也发展的比较好。人多的同时,要想的也多了,团队接下来一个季度、一年、两年要做的事是什么(虽然从19年就一直在想),需求定什么(造多点蛋糕)、怎么排期怎么管理。很多事情也可以分出去了。早上当产品、下午当开发、晚上当安全的日子,各种事情(处理bug/需求评审/方案评审/插件问题/漏洞修复问题/处理业务线反馈)好像开始远去了。
但不能这样停,多想想更有价值的事情吧。
已经十月份了,转眼今年好像又要过去了,春去秋来三年真快。第四年,已经快过去一半了。