乙方转甲方的职业痛点；安全产品经理的职业困惑 | FB甲方群话题讨论

乙方转甲方的职业痛点；安全产品经理的职业困惑 | FB甲方群话题讨论

各位 Buffer 晚上好，FreeBuf 甲方群话题讨论第 240期来了！FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论，Kiki 群助手每周整理精华、干货讨论内容，为您提供一手价值信息。

话题抢先看

1. A同学：乙方安服转甲方应用安全，上升无望，只能做一个小兵蛋仔，日常的工作较流程化，应该如何规划下一步职业发展？

2. B同学：在乙方做安全产品研发两年，后转到甲方小团队里做安全开发一年，开发了漏洞管理、SOC平台等，自觉甲方安全团队自研能力不足，研究在安全方面和开发方面的增长都有限，应该如何规划下一步职业发展？

3. C同学：安全产品经理，已经换了几次工作，均是在乙方做安全产品，认为自己没有开发或渗透能力，会感觉经常被牵着鼻子走，并感觉做产品很难受，不是真的解决问题，很多时候是为了做而做的功能，希望自己能走出困境。

话题：聊聊职业规划与发展

场景一：安服转应用安全

A同学，在乙方安服一年，后转到甲方做应用安全SDL两年，包括业务上线评审、代码审计、渗透测试等工作。同时自己也挖挖SRC。
目前问题：上升无望，只能做一个小兵蛋仔，日常的工作较流程化。想晋升则做不出突出的成绩，想换工作但技术没有其它乙方的强，也没有其它甲方需要的安全建设能力。应该如何规划下一步职业发展？

A1：

最底层的渗透、代码审计，上升思维比较难，一共3年纯技术经验，下一步应该走审计路线提升认知和思维 ，或者走开发安全管理标准管理方向。

A2：

渗透是起步，好转岗，但是不能一直干，累不说，一眼望到头。

A3：

渗透不好转岗吧？ 思维就圈在代码这个层次了，除非跳出代码思维技术思维。

A4：

建议了解CSO/CISO所需的能力，补足短板，特别是用业务语言沟通和管理层视角看问题。最好考业务相关的证书，在本公司上升无望就看机会换工作。而且可以在大甲方和小甲方之前互换，这样升职较快。

A5：

SDL、业务上线评审、代码审计、渗透测试等工作能深入研究，制作规范，保障落地，能做好就很厉害了。

A6：

这不会是真人案例吧，看甲方性质，偏向于国字头的，就老老实实跟着文件跟着人。如果是其他，尽量去大公司学习，然后往小公司跳，从0到1。

A7：

再换个甲方环境，会更能找到自己的定位。根据内容发现到了甲方做的还是乙方那些安全的检测，没接触到安全架构和管理，想走技术就跳互联网甲方，想晋升安全管理就要去碰到安全架构和框架。

A8：

我觉得，A同学当小兵，只是目前的一个工作状态，但是至少他属于一线的执行人员，在乙方安服的一年经验，以及接入的两年SDL工作经验，完全是可以继续把开发安全做好，并持续做Devsecops，是可以做到比较优的成效出来。如果再自学开发架构的知识，可以在项目的上线前，对架构做安全风险评估的。

A9：

甲方如果有体系化的安全建设的话大部分工作都是流程化的，在量化数据上确实不太好体现出来做的事情。

A10：

我觉得他这个上升无望，不是针对自己的职业的上升无望，应用安全有很多可以做的事情，只是他不做，他不想做，他想不到要做。安服都有一个执念，那就是渗透才是安全，所以才会焦虑（我之前也这样想）。

A11：

从问题描述中可以看出，此公司存在SDL等安全投入，至少对安全是有一定的重视，可以跳出技术思维，站在更高的视角看待安全，盘一下公司安全现状，比如，通盘考虑如何从技术侧保护业务安全：

1. 从研发全生命周期考量；

2. 从数据全生命周期考量；

3. 从业务流程考量（非软件侧）。

从上述三个视角切入，梳理并形成可执行性方案，往自己直属领导处提建议，后续就看领导态度。

A12：

其实我觉得这个问题得分开看。晋升跟职业规划是两码事。我觉得A同学的迷茫还是自身能力和认知问题。
晋升是需要具备一定的能力的。这里IQ和EQ都很重要，IQ方面体现就是深度思考一个简单的工作也可以做出很多产出的。比如渗透测试，每个阶段深入研究都能做出产出。样本，方法论，工具等等。EQ方面就是向上向下横向管理等等。比如跟其他团队合作，利用其他人的能力一起做事情。跟领导沟通想晋级，有没有可以产出的项目。另外就是软技能，思考表达和项目管理能力，这个懂得都懂（这里有个点，如果向上管理成功就向上，不行就跑路）。
至于职业规划这个就大了，安全的方向又多，只提升技术会很难。我觉得还是做好自己目前的领域，成为领域专家，多多提升自己的认知和行业影响力。

场景二：安全开发

B同学，在乙方做安全产品研发两年，后转到甲方小团队里做安全开发一年，开发了漏洞管理、SOC平台等。
目前问题：甲方安全团队自研能力不足，漏洞管理平台也只是使用Django实现简单的系统，SOC平台也就ELK一套，研究在安全方面和开发方面的增长都有限。去乙方做安全研发别人会觉得技术不深，薪资明显落差，去其它甲方则还是做一些流程化工具平台的开发。应该如何规划下一步职业发展？

A13：

去乙方还不如转型当业务研发了，但是现在业务研发也不太好找工作。

A14：

做业务研发，人家觉得你不行，都没有大规模C端经验。做甲方平台/产品，可能好点儿，不过也需要是比较大的互联网企业。

A15：

现在好多安全部门一般也几个人，做开发目标性比较强，一般就流程实现了就行了。

A16：

问题是安全乙方，肯定更想找量大管饱的业务研发啊。

A17：

乙方初入甲方往往容易陷入一定的牛角尖，准确点说有过多责任心的人都容易让自己陷入牛角尖。简单说在某些事情上你认真对待，多数人打马虎眼得过且过，越想刷存在感，就越容易感觉没有存在感。学会换些视角、上升些高度看待问题，就会淡然看开很多。

A18：

安全开发本质是开发，所以要首先思考自己是要做开发还是安全。

A19：

有时候需要自己考虑很多，比方说对外说的时候，自己为啥做这个平台，平台能给团队带来多大的价值；有时候也需要自己做个闷葫芦，得过且过，对自己负责的模块负责，对自己负责的产品负责，对自己带领的团队负责，当然更需要对自己的身体负责。你如果老是盯着自己的同学、身边的大佬啥的，你不是给自己找麻烦么。学会给自己找不足，不是让别人否定自己。

A20：

甲方由于人员编制有限，所以不可能找很多开发人员，所以都是通过外包开发人员的方式做技术开发的。B同学可以先做好漏洞管理平台的定位，是作为资产管理？数据中台？漏洞工单？再根据规划好的思路，提出开发的预算，在人员配备完整的基础上，对现有产品做二次开发，引入第三方的平台，解决现有漏洞管理的不足。

A21：

甲方可能是永恒的归属了，乙方除了少数技术狂人可以拿到很好的未来，大部分最后能留下的岗位也是偏甲方的，制度与流程才是永恒的，开发只是开始，没有人能一直持有高强度的开发能力，但是对于流程管理、架构管理是越磨炼越有经验，这种知识是难以被淘汰的，推荐去甲方从流程化工具开发开始，到逐步理解流程，优化流程，最后开始自己制定一些流程，这样再次调到其他企业，就是妥妥的CSO了。

场景三

C同学，安全产品经理，已经换了几次工作，均是在乙方做安全产品。
目前问题：一方面自己没有开发或渗透能力，会感觉经常被牵着鼻子走，比如需求的评估是不是合理、技术的实现周期是多久等，需要别人帮助来评估指导，想学一下技术但花了很长时间也学不深入；另一方面感觉做产品很难受，不是真的解决问题，很多时候是为了做而做的功能，自己有很多好的想法却落地困难；本身自己喜欢做产品的，但是国内是否都是这样？应该如何规划自己的职业发展呢？

A22：

换了几次工作，工资涨了多少，能力的上涨可以从工资的上涨幅度上反馈出来。

A23：

把某一个安全产品研究透彻，了解市场上所有类似产品的差异和特征，特别是海外TOP产品白皮书。多和甲方沟通，了解甲方对于产品的痛点和难点。我见过某个大佬不会技术，另辟蹊径，他专门研究海外的英文文档，把体系化的东西映射回国内产品。

A24：

感觉C同学方向错了，没必要继续，停下来转身就是进步。

A25：

1. 产品经理的核心是理解用户需求并转化为产品方案，技术能力是加分项而非必备项；
2. 重点学习安全产品相关的技术原理、实现方式、优缺点等，无需深入到代码层面；
3. 与研发团队保持良好沟通，虚心请教，借助他们的技术、Expertise，完善产品判断；
4. 关注安全技术博客、论坛、公众号等，参加安全技术培训和研讨会，使用一些在线学习平台。

A26：

看到这个同学的疑问，突然觉得大厂的晋级制度有可取之处。看这位同学的描述，技术应该处于中级工程师的中间层，也就是能独立完成领导交接的任务也能做好。如果要继续干，可以尝试仔细梳理自己目前的工作和安全开发的技能树对比。仔细梳理工作中存在哪些问题，这些问题的关连点是啥，全部解决会有怎么样的效果，如何拆分和解决。如果要跑路就赶紧看看招聘，对比所需技能，恶补一下，自己尝试做个项目放到Github上。东西是死的，人是活的，不要想着用工作性质提升自己的阅历。

A27：

至于想法落地难的问题，虽然不知道这位C同学是不是在安全大厂，但是很多产品很臃肿，避免为了做功能而做功能，要多与一线安全人员、客户沟通，了解他们的痛点和真实需求，需要在功能、性能、成本、周期等方面找到平衡点，如果公司产品导向不符合个人理念，可以考虑跳槽到更注重产品和技术驱动的公司。

A28：

作为产品经理，没必要学开发渗透能力，产品经理要深入产品原理，方向错了就错了，深入理解了产品，再加上客户反馈，方向自然就有了。

A29：

职业规划还是和很多大佬说的一样，现在某一个细分领域成为专家型的产品经理，比如防火墙、漏扫或者威胁情报甚至大模型，积累产品经验之后如果不想做产品可以转型架构师，为客户提供定制化的安全解决方案，腾讯安全里面就有这类的岗位；最后积累了好的想法和资源，有底气的话可以考虑创业或者加入初创公司实现财富自由。

A30：

做产品首先需要自己是产品体验官，也就是要有丰富的产品使用经验的沉淀，才可以。多到客户现场走一下，深入地了解客户的实际需求，才能落地真正有用的产品，实际解决问题。现在我遇到的很多通用的产品，都是为了满足市场的需求先上，到后面有些客户就直接变成小白鼠了。我们曾经用过一款终端安全系统，当时号称市场覆盖率第一，但是到我们实际部署的场景下，出现各种问题，联系售后甚至400，都说他们之前没有遇到过，有些优化的需求，也是排期到很久。所以，我们引入一款产品，一定不能被忽悠，更多的是要缩小试错的成本，也可以参考互联网的经验。大公司的话，还得做好异构。

A31：

感觉这位同学走歪了，产品经理的核心技能是：市场分析和研究，项目管理，沟通和谈判技巧，UX/UI理解，数据分析等能力。感觉他遇到的问题都是这些能力不足导致无法落地。
看各位大佬说了这么多，我也简单说说，我建议这位小伙伴提升自己的"专业"能力先。比如被技术说这个事情，项目管理和沟通能力OK的话，可以开会沟通由开发主管来评估周期，自己跟进度和结果就行。专业的人干专业的事挺好的。
想法无法落地还是自己沟通表达能能力的体现，说明自己表达不到位，层次不清晰、跟公司主线不一致等。无法说服老板提升优先级等。当然实际情况可能有很多差异不太好做具体单方面的评价。

A32：

产品经理重在理解业务需求，也就是客户的真实需求，也需要一定的技术基础，至少对主流技术有一定了解，光从做好产品经理的角度来说，两方面都是需要不断扩展的。
但是从职业规划的角度，可以专一下技术给自己留条后路，毕竟一般的产品太容易被替代了，甲方转的产品肯定比你懂业务需求，技术转产品肯定比你懂技术，当然产品也有产品的沉淀，只是多项技术多条退路。

本周话题总结

本期话题围绕三位网安人的职场困惑展开。讨论认为A同学应跳出当前技术执行的局限，从提升综合能力和拓展视野入手规划职业发展。包括深化在SDL、代码审计、渗透测试等领域的技术专长，并探索DevSecOps等新兴领域，以增强个人竞争力。其次，提升业务理解能力，学会用业务语言与管理层沟通，站在更高视角审视公司安全现状，提出建设性建议。同时，加强项目管理、团队协作和领导力等软技能，为晋升和承担更多责任打下基础。

B同学应明确自己的职业定位和发展方向，是继续深耕开发领域还是转向安全管理。若选择开发，则需考虑如何提升自己的技术深度和广度，如学习更先进的开发框架、深入研究安全开发最佳实践等。同时，也要关注行业动态，了解新技术、新工具的发展，以保持竞争力。此外可以主动寻求在甲方内部的发展机会，若日后觉得甲方内部发展空间有限，B同学也可以考虑跳槽至其他甲方或乙方公司。在选择新公司时，应重点关注公司的技术实力、项目规模以及自己在团队中的定位和发展空间。

C同学作为安全产品经理，应明确职责，提升对安全产品的理解和市场洞察力。加强与技术团队和甲方的沟通，学习技术原理但不需深入代码。提升项目管理、沟通和数据分析能力，确保产品顺利落地。规划上，可专注细分领域成专家，或转型架构师、定制化解决方案。同时，学些技术基础为后路。

近期群内答疑解惑

Q：非安全开发的安全人员的编程能力，一般要掌握到什么程度才算合格？能独立开发安全系统？

A1：

能独立开发一个简单系统吧，否则涉及到开发安全就会懵逼。

A2：

会开发简单系统也不够，碰到安卓/iOS的开发安全还是会懵逼。

A3：

那个是App安全吧，基本上会安全加固就行，要不然哪里有那么多精力学，一个反汇编想搞精通，就能要了半条命。

Q：大家数据库有加密么，用的什么技术加密呢？

A1：

数据库硬盘加密了。具体到字段的话，敏感数据已经勒令研发AES加密了。

A2：

这样就不担心硬盘被拔了。

A3：

硬盘加密只是防物理丢失。

A4：

在公有云上，物理也丢失不了，只能逻辑拷贝。

A5：

敏感信息和重要数据肯定是分类分级，加密存储，打码展示，业务上做加密，不是数据库做加密。

Q：大佬们有用GitHub Copilot的吗，会不会有什么安全合规风险？

A：

贵的那款还行，便宜的那款肯定会上传代码的，一定会有风险的。微软卖Business的时候就明确说了。只承诺Business版才不会上传你的代码。

Q：有没有好用的全端口扫描工具？

A1：

Goby还行。

A2：

Goby全端口不行，有缺失。

A3：

端口扫描必须 Nmap 啊。

A4：

都差不多，基本上都是Nmap，那种设备扫描也是用的Nmap。

A5：

Goby界面看起来舒服点，扫描原理都一样，都大差不差。

Q：针对领红包的营销活动，安全防护措施都有哪些，根据领红包活动不同情况（如活动预算成本和活动次数少、活动预算多、次数多等等），如何设计一个安全方案，主要考虑安全项目成本投入问题，和业务达到一个相对平衡？

A1：

必须微信登录，确保PII，参与用户身份的真实性。对于超过XXX元的大额红包，增加手机短信验证码或多因素认证。此外人数上限、金额上限、人均次数上限，禁止外挂。

A2：

HVV电台话题征集

一年一度的护碗即将开始，各位赛博保安准备好了吗？

听说有蓝队已经在全国各大机场火车站出口，对背着电脑包疑似红队的进行流量排查......

也有落榜生已经转战某团众包......

这次，你不再是一个人，知识大陆电台等你来聊！

下周，我们将上线HW专题，

AI变声+匿名，

没人知道你是红队眼中只会封ip的猴子，
还是蓝队眼中只会用扫描器的吗喽，

不吐不快，大胆畅聊！

扫码即刻入场

你有HVV相关疑问，可以填写表单，我们将在下期话题为您答疑解惑！

表单链接：http://sdj7kmq3evmbkio2.mikecrm.com/EiGIHuA

甲方群最新动态

上期话题回顾：

内存马如何查杀；项目中如何施行安全三同步

活动回顾：

碰撞AI安全的火花，探索企业安全建设新路径 | FreeBuf企业安全俱乐部广州站

活动预告：

议题全公布 | FreeBuf企业安全俱乐部·北京站

近期热点资讯

并购新纪录！谷歌拟豪掷230亿美金震撼收购Wiz

Cisco曝超严重漏洞，黑客可修改管理员密码
因白宫禁令，卡巴斯基彻底退出美国市场
1.1亿用户数据被窃后，AT&T向黑客支付了37万美元赎金
GitHub 令牌泄漏， Python 核心资源库面临潜在攻击

FreeBuf甲方社群每周开展不同的话题讨论，快来扫码加入我们吧！

【申请流程：扫码申请-后台审核（2-5个工作日）-邮件通知-加入社群】

注：目前1群、2群已满，如有疑问，也可添加Kiki群助手微信：freebuf1024，备注：甲方会员

“FreeBuf甲方群”帮会已建立，该帮会以三大甲方社群为基础，连接1300+甲方，持续不断输出、汇总各行业知识干货，打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口，让我们一同加入，共同建设帮会内容体系，丰富学习交流地。