2021 年终总结

又到了年末,是时候对 21 年进行一个总结。

这几天刚租完房子、搬完家,购置用品,收拾东西收拾了几天,总算是让这个小小的开间有了家的感觉,趁着新工作入职之前的两天闲暇,写一下 2021 年终总结。

这次不再流水账般的记录我的所作所为,而是分小节写一下感悟。

同去年的总结,可能过几天就删了。

2021 年技术栈还是继续聚焦在 Java 安全上,虽然这一年在老家划水,工作上并非安全研究,而是一些自动化工具的开发以及公司蜜罐产品等相关工作,但在大多数的时间里,我还是自己想办法找到了相关的平衡,这一年围绕着 Java 安全入门级的一些漏洞如 Struts2、Fastjson、原生反序列化等等进行了调试学习,并输出了文章,虽然文章一直被吐槽很烂,但也代表着我的努力。

除了 Java 安全,由于蜜罐相关工作,对于虚拟化容器的相关知识也算入了门,不确定日后能否用的上,人在江湖技多不压身。

未来一段时间大概率还是在 Java 安全领域深耕,很多大佬都在劝我,Java 安全就那些东西,卷的很厉害,但是我都表示,就这点东西,我并不敢说完全掌握的通透,等到掌握的差不多了,再考虑其他方向的问题。

方向的话依旧关注漏洞原理,重心大概会从常见漏洞逐渐转移到框架、组件、中间件层面的漏洞。

起初是没什么跳槽的想法的,只是在同一时间段内(大概一周左右),至少 3 位大佬在微信上要我的简历,秉承着闲着也是闲着的思想面试了几家,面了几家的一面之后,就觉得既然在面试了,就都试试机会,所以那一阶段在 Javasec 群里招人的大佬我几乎都投了一下,由他们来推我的简历到他们的HR。

随着面试流程的进行,我发现了无法忽略的一个点,就是信息差。

首先人力部门和技术部门是有信息差的,这个差体现在各个方面。由于我的学历问题,曾遇见多次尽管是内推的但是简历立刻被刷掉的情况,都是由负责人额外沟通之后才重新进入流程。这是一部分信息差值,技术部可能要你的技术,但不了解你的整体素质,而公司可能以学历来作为衡量综合素质的一个重要指标,这本身无可非议。

在与人力沟通的过程中也发现,由于人力不理解你的技术,也不清楚你的为人、你的经历过往,他对你的了解除了与技术部门的交流,就体现在一纸简历之上,我不清楚公司背景调查的程度,但是通常人力都会直接问他感兴趣的问题,比如离职原因、学历原因等等。这也是一部分信息差,我不喜欢在简历上吹水,例如一门语言我是 hello world 水平,我就会写“hello world 水平”或者不写,我不会写“熟练掌握”、“精通”之类的辞藻。对于工作内容,我会写我完成XXX工作,而“更好”的写法貌似为:负责并独立完成XXX核心工作。所以“简历的包装”问题也成为了我本次面试的一个问题。但好在我面的几家公司人力都没在这一部分难为我,大概是技术负责人进行了相关的沟通。按照园长的说法,我这样写简历很难找到工作。也确实,在跟某些单位的人力通电话时,能明确感到对方通过我的简历对我简单了解后,对我面试部门和期待薪资的不解和疑问,好在大家都很专业哈。

大厂的技术面通常有多轮,这个流程实在是太长了。而技术面和技术面也有信息差,我这次参与的面试,差不多第一轮面安全,第二轮面开发,第三轮就聊一下技术实现,职业发展之类的。有的面试官知道我是安全懂开发,就没有问很深的开发问题,包括数据结构和算法一类的,而有的面试官则是实实在在的进行询问和考察,但是很奇怪,我遇见了很多问题没答出来最后给我过了的,也遇见了聊了一个小时最后没消息的。原因可能有很多,我这里没深究,也没多问,随缘嘛。

我的性格是内向且被动的,虽然在过去的一年中有所改变,但是大体上还是这样的。举个例子:要我去自信地在一群人面前说我擅长什么,我什么比较厉害,对我来说是比较难的,因为我总是盯着比我强的人看,而且甚至一开始就盯着最强的人看,跟他们(假想敌)比,我没办法自己说出来我很强。这一部分也是很大的信息差,对于电话/视频面试来说,如果你不能自信的说出来你的优势,你的长处,那你期待远在天边的对方去主动了解你吗?但好在就技术面来说,面试遇到的很多师傅在网上看过我的文章,对我的 ID 眼熟,从而对我的能力有了提前的了解乃至认可。例如某家单位一面的师傅问了我 10 个问题我可能只答出来两个,尬聊了半个小时,最后跟我说:“我在网上看过你的文章,我觉得你有研究问题本质的思想,能力是没问题的,我给你过了。”所以在网上发发博客还是有用的哈哈哈。

后来跟某位师傅聊到我选择的 offer,我说我之所以有此选择,可能还是习惯在乙方,在甲方的心里压力可能会大点。其实想想,也没必要妄自菲薄,失去了对自己能力的自信。只不过日后在消除信息差的部分应该再下点功夫。

这里要感谢所有对我抛出橄榄枝、面试、以及负责沟通和协调的师傅以及人力小姐姐们,感谢你们对我的认可,这对我来说很重要。

今年由于是单身,时间和金钱似乎一下充裕了起来,无论是在单位泡到半夜,还是突有感想去哪玩吃什么,都感觉重新获得了自由。

这实际上为我带来了一些意想不到的结果:

  • 由于经常在单位 DEBUG 漏洞到半夜,然后开摩捷回家,这一年的车技倒是大大的提升。
  • 因为钱都花在了自己身上,所以在一些商品和会员制的购买力大大增强,比如之前非常果断的办理了游泳馆的年卡,直接导致了我坚持平均每周最少 2 次最多 4 次的游泳,但是就在这样的运动下,我今年还是把去年起早贪黑减的肥都胖回来了,因为下半年对吃这方面实在是没有克制~
  • 重拾美剧,找回过去的爱好,并且将大量的业余时间花在了读书上,关于这方面的分享,请查看我的 21 年读书小结。

在这一年里,“我”的概念逐渐清晰,虽然我不会去追寻“我是谁”这样极致的哲学问题,但是至少我还是希望“我的存在”是有意义的。既然“存在”具有意义,那证明“存在”所进行的“行为”就必须拥有意义。

总体来说,就是卷起来了,而且会越来越卷。

整个 21 年,我花费了大量的时间泡在 Github 中,主要是观看和学习了很多优秀的开源项目,也尝试着工具化了一些研究的东西,但是遗憾的是,很多东西也仅仅停留在“工具化”的层面而已。

随着能力的提升,我逐渐体会到,将一个思路“实现”出来,和把它变成人人均可使用的“武器化”的工具,还是存在巨大的差别的。对于一款工具来说,就拿 Java 举例,在不同操作系统、不同 JDK、不同组件版本、不同中间件、不同项目配置、不同安全策略中,与你最开始实现的细节差异可能很多,会导致你的工具完全失效。

在我今年实现的工具化项目中,并没有很多人去使用,因为是有寥寥几位师傅与我反馈其中的问题,在未来,我希望能长期维护一个优秀的开源项目,为安全从业者提供有效的帮助。同时,在进行安全研究时,也尽量关注漏洞细节和实际环境,避免成为“实验室黑客”。

今年关于人生、规划、未来这类的思考变多了,想了很多以前不会想的问题。如果你在现实中认识我,你会发现,我经常两眼发直,神游太虚幻境。如果你问我在干嘛,我会微微一笑并且回答你:思考人生。

实则不尽然,我确实在思考,但不一定思考什么,经常看见一个东西有感而发,然后就任由思绪乱飞。大多数时间是在神游,一小部分时间是在思考技术或实际问题,还有一部分时间在回忆过去,无论怎样,思考(胡思乱想)是我从小保持下来的习惯。

今年依旧思考着这些没卵用的问题,但是得益于今年读的关于思考和思维方式的书,思考不再一带而过,而是会针对一个问题进行更深的更完整的思考。我举个例子:有一天在床上趴着,突然想起来一个场景,在综艺中,经常会有一个团队游戏,绑腿跑,大概如下图:

规则大概是:相邻的人腿绑在一起,一起向前跑,最快的队伍获胜。那么此时如果你是团队的组织者,如何快速组织队伍形成前进队形,赢得比赛?

这里也给各位看官一个思考空间,要考虑的方面包括但不限于:如何快速形成队伍、口号怎么喊能符合所有人、身高/步长不同导致的行进速度不一样、5个人绑腿跑和50人绑腿跑组织下有什么分别、如果是跑到头转弯跑回来该如何转弯等等,还有很多问题可以自行发散。

这样的思考可能没有任何实际作用,但是有利于形成多角度的思维方式,闲着也是闲着,瞎想呗,反正比刷抖音强。

最后一小节说一下对明年的计划,我特意翻了一下 2020 年终总结写的计划,发现几乎去年计划的东西今年完全没有实施,哈哈哈,计划了个寂寞。

确实,我的计划经常是写着玩的,因为写的时候并没有严肃的按照可量化的、有时间点的、一定要完成的那种计划去写,更多时候,是对自己未来一年行为、状态的一种预期。

今年同去年一样写一些预期,也没必要将自己限制住,计划赶不上变化快,随缘就好了,这次不妨将预期写的更轮廓一点:

  • 赚钱(放在第一位啊哈哈)
  • 变强(史上最敷衍计划啊哈哈)
  • 脱单?(缘,妙不可言)

哈哈哈哈哈红红火火恍恍惚惚。

其实我在每个小结中已经写了一些预期,祝愿自己在新的一年里,成为自己想成为的人。