第二版序：我最满意的安全文章

预览

断更快两年了，你们肯定以为我偷懒了。错！这两年我写得比谁都勤奋，写作让我感到自由和快乐。在此给大家报告三件事情：

1.  写了三年的《计算》终于要在八月底、九月初问世了，37万字，平均每月写一万字，足见我并没有偷懒。

2. 我已经于5月18日正式离开阿里，开启了一段人工智能领域的创业。后来发现这真是个好日子，连阿里云都选择在这天宣布上市，真好啊。创业方面的问题等到11月底过了竞业期以后再给大家报告和交流。

3. 时隔十一年，《白帽子讲Web安全》第二版终于面世，我邀请了第二作者叶敏来共同参与。其中的始末我写成了第二版的序，这篇序是我这么多年工作中，在安全领域写过的让我自己最满意的文章。贴在这里，分享给大家，并同时向所有正义的白帽子们致以最崇高的敬意，你们的工作在努力弥补世界的不完美：

《白帽子讲Web安全》第二版 序

    时光荏苒，离本书的出版转眼过去了十一年。在这十一年里，世界发生了许多变化：云计算不再是一个故事，大数据变成了重要生产要素，深度学习的崛起则开启了第三次人工智能浪潮，机器打败了人类棋手，在大模型的加持下人工智能正在挑战越来越多的人类职业。我们经历了新冠疫情，经历了俄乌冲突，这一切让安全问题变得更加的敏感。互联网的渗透无处不在，数据隐私问题、科技伦理问题变成人们愈发关心的话题。过去的十一年，我们看到了自动驾驶失控酿成的交通事故、无人机被应用在战争、聊天机器人诱使人类自杀，元宇宙中发生了性侵。这些科技的突破似乎总会伴生着新的威胁，让人们在憧憬美好未来的同时，也无法忽视那悬于头顶上的达摩克利斯之剑。在这技术革命的关口上，安全再次变成一个必须直面的问题：科技带来的是生存还是毁灭？

    因此在这个关口上，为本书更新第二版则又增加了一份责任。正如本书开篇所言：互联网本来是安全的，自从有了研究安全的人，就变得不安全了。这似乎是一个悖论，但我们不妨认为白帽子的使命，就是站在建设者的对立面，思考一个更加完善的系统应当是怎样的。这些年安全圈对白帽子理念的不懈倡议，让产业界终于接受了红蓝对抗这一源自黑客文化的惯例做法，这是一场胜利，它给予了所有白帽子们应有的宽容和尊重，对应的回报是互联网变得越来越安全了。

    在十年前，多数公司会将给他们报告漏洞的白帽子视为敲诈勒索者，因为白帽子在漏洞的缄默期之后选择最终公开漏洞的行为被视为对资本的挑衅。甚至还有公司将员工里的白帽子们写脚本刷内部系统的中秋节月饼的事情视为道德问题，而选择性的忽视了白帽子有报告漏洞这一事实，令人哭笑不得。而十年后的今天，一个在安全政策上成熟的公司更多的建立了友好的社区关系，将白帽子的这种行为视为类似于媒体的舆论监督。白帽子和记者是类似的，首要都是在对老百姓和公众负责，这是一种侠义精神。黑客精神中所谓的挑战权威，正是通过一己之力让大企业能在普通用户面前保持谦卑的心态。长期以来，这种独立的监督在人类社会中发挥了重要作用，从某种程度上来说是实现社会公平的一种保证。

    在这种面临科技失控的挑战下，白帽子的责任在于通过安全技术、安全政策的研究，跟上科技发展的步伐，从而将科技的种种成果限定在一个对人类有益的范围中，控制好科技所带来的负面效果。因此科技发展的速度，委实受限于对应的安全技术发展的速度。蒸汽力革命发生时，人们担心蒸汽机会爆炸；电力革命发生时，人们担心高压电会带来生命危险；当前正在发生的人工智能革命，人们则担心GPT等大模型会冲击就业，会带来机器意识失控的危机，因此多位计算机科学家联名签署了倡议书，建议暂缓对更强大的人工智能大模型的训练工作。但所有这些人类历史上的科技进步，最终都转化成了造福人类的果实，其中必不可少的前提，就是安全水平达到了一种可接受的程度。

    帮助互联网相关各类计算机系统达到一个可接受的安全水平，就是本书的写作目的。本书在过去的十一年中得到了广大读者朋友们的支持和好评，编辑张春雨先生更是推荐我成为了博文视点五十年来50位有影响力的作者之一，倍感荣幸。但同时感到遗憾的是，在过去的日子里，一直未能有时间和精力对本书加以修订，使其与时俱进。直到去年，终于下定决心将本书更新到第二版。

    在这次修订中，我请到了我曾经的老同事，和我一起工作了十年的一位关键技术专家—叶敏，来担任本书的第二作者。叶敏是团队中技术最好的几个人之一，有着高尚的品格和白帽子的职业操守。他见证了云计算安全从无到有的全过程，在安全知识的深度和广度上都令我敬佩，交给他的安全技术问题还从来没有解决不掉的。他深得云安全的精髓，是本书最合适的第二作者人选。叶敏修订了本书的大量章节，更正了一些错漏和过时之处，同时新增了移动互联网、云计算、机器学习、Devops等许多新领域的安全知识，使得本书能够跟上时代的技术发展。

    本书的特点是专注在安全技术的细节和原理上，通过多年的实践积累而成，在具体的工作中有着实际的指导意义，同时也可以作为一本安全手册供所有开发者查阅。从本书的第二版开始，我们希望能够长期的将本书更新维护下去，以帮助更多需要它的人。同时也希望未来有机会将本书升级成「白帽子安全讲义」系列丛书，《白帽子讲Web安全》将会是这个系列的一个起点。

    建设更安全的互联网！

    吴翰清

    2023年4月 于杭州

最后，附上本书的首发购买链接，感谢各位读者的支持！