重新出发

今-2025年8月，一枚末流211本科毕业，从事网络安全相关工作5年的工程师（牛马），随着年龄、见识的增长，感觉前路有些许迷雾，重新搭建一个博客（避免熟人发现），梳理来路思考未来方向，跳出围城，不应该缺少重新出发的勇气。

来时路

2020年信息安全专业毕业，恰好遇上了口罩，毕业典礼都没有(ㄒoㄒ)。大学也确实没学到什么本事，家里没有人能给什么建议，想就业没有找实习，考研也没有想法，大学时懒惰，但是好在学习成绩还可以，靠着毕业设计的知识，勉强入职了家小公司做安全服务。

初创公司就几个人，做的东西很多很杂，现在回想也很感谢当初的老板让我学会了很多。技术学会了渗透、应急、java代码审计，后来还给公司的研发搭建了完整的SDLC，小公司的工作内容包括(大牛马)：售前支持，售后执行，项目经理。

• 售前支持：协助销售对接客户，参与需求沟通与方案讲解，结合客户业务场景提供针对性安全测试建议，支撑销售签单；
• 售后执行：销售签单后，作为核心接口人对接客户，明确测试范围、获取系统权限、梳理业务流程等关键测试信息，确保测试方向与客户需求一致；
• 项目经理：从项目启动到最终交付，全程负责进度把控、问题协调与结果验收，保障客户满意度。

是的干的很多，很杂，很累，工资还低（比996狠）~~，公司从开始的6人到后来的70人。

2022年7月。多种原因裸辞了，7月中旬开始投简历一直没有合适的机会，恰好HW要开始了，找朋友要了个机会，去了某个供电所值班（闲-休息）。行情好一天税后3.5K，很开心。HW之后所在地（保密）的工作机会确实太少，群里看到有北京的机会，一投就上岸了，是一家央企的子公司。

2022年10月。第一次来北京，记得天气微凉，南方的人不太适应北京的干，买了加湿器，去了故宫，天安门，颐和园，然后居家了。。入职是正常的，8号就入职了，央企的福利还是不错了，加班也不多，一下子非常不习惯（🐂当多了）。工作内容也变得垂直：渗透测试、应急响应。也熟悉了一些漏洞管理、安全加固、合规相关的工作，从乙方安全服务转向了甲方安全建设。

2025年8月。在这家公司工作了三年，考了PTS，后续应该会考CISSP。工作的内容已经变得程序化，机械化，感觉自己的可替代性太强了。公司流程规定的升职涨薪都没有落实，和朋友们聊天我现在的年薪是他们的1/3，差距还是挺大的，而且公司是市场化经营也不是那么稳，有10%的淘汰率，思考走人了，毕竟远离家乡就是赚钱来的。

理思绪

目前我的技能有攻防，应急，代码审计（刚拿起来，写前已经审计了两个CMS的洞了）。之前看到过这么一句话，人的精力有限，选择一个想做的方向去做到不可替代，攻防我感觉入行简单可替代性强，结合入行就一直有的理想，可以自己运营一家公司或者一个产品线的安全，就是想做安全架构师，看了看最新的发展（招聘），云计算和AI是目前最火的方向。安全一直都是锦上添花的，AI还没有那么成熟，云目前相对成熟。后续打算研究云相关的安全+代码审计+应急响应，加强自己的不可替代性。看到很多SDL在招聘，和我想做，能力图谱都和我的技能非常相近，农历25年底准备出击这个岗位，希望可以成功。

谈规划

写这篇总结，对于SDL只有初步的概念，认知还是有限，只能先做再调整。

1. 云常用组件漏洞原理、复现、修复知识学习。

   1. Docker、K8s、GitLab、Jenkins、Prometheus+Grafana、ELK

2. 代码审计能力持续强化

   1. Java利用链的学习和挖掘
   2. CodeQL使用，写出通用漏洞的规则

3. 搭建 DevSecOps 环境

   1. 搭建环境
   2. OWASP Threat Dragon、SonarQube、OWASP Dependency-Check、Checkov、Clair学习

‍

‍