软件实施与运维学习心得体会，零基础入门到精通，收藏这篇就够了

最新推荐文章于 2025-12-03 18:49:33 发布

原创最新推荐文章于 2025-12-03 18:49:33 发布 · 562 阅读

6 ·

CC 4.0 BY-SA版权

文章标签：

#运维 #学习 #c语言 #开发语言

程序员同时被 3 个专栏收录

1668 篇文章

订阅专栏

计算机

1655 篇文章

订阅专栏

运维

313 篇文章

订阅专栏

在软件实施与运维过程中，个人体会往往涉及到多个方面，包括项目管理、技术细节、团队协作和持续学习。以下是一些关键的心得体会：

计划与准备：实施阶段必须有详尽的计划，包括需求分析、时间表和风险管理。运维则需要对系统的运行环境和性能监控有深入的理解。
灵活性与适应性：面对不断变化的需求和技术更新，运维人员需要快速适应新的工具和框架，同时保持系统的灵活性。
自动化与效率：利用自动化工具进行部署、监控和故障排查，能大大提高效率，减少人为错误。
团队协作：软件实施不仅是技术活，也是团队合作的体现。良好的沟通、知识分享和责任划分对于项目的成功至关重要。
持续学习：技术日新月异，运维人员需保持对新技术的学习，以便更好地解决问题和优化系统。
服务质量：运维不仅仅是修复问题，还包括提供高质量的服务，确保业务连续性和用户体验。
预防优于治疗：实施阶段就要考虑到后期的运维，预防性的维护策略可以避免大量突发问题。

软件测试行业里工程师工作岗位的分类

有按看不看代码分的：黑盒测试工程师、白盒测试工程师

    有按主要业务分的：金融测试工程师、通信测试工程师、本地化测试工程师、游戏测试工程师

    有按主要任务分的：自动化测试工程师、性能测试工程师、安全测试工程师

    有按被测软件分的：手机app测试工程师、手游测试工程师、网页测试工程师、客户端测试工程师

有时也有按被测软件的语言、技术分的：java测试工程师、.Net测试工程师、数据库测试工程师

还有和开发混在一起的：测试开发工程师、测试工具开发工程师、测试架构师

最多的还是笼统的：软件测试工程师、资深测试工程师、高级测试工程师、测试主管、测试经理

    此外最常见的就是复合的，如：外包java测试资深工程师、ios手游高级测试工程师，把上面的各类定语随机组合

工作岗位类型多导致的测试人员迷茫 - 再看行业的特点

看上面这么多岗位，可以感觉到软件测试行业就是一个大杂烩，什么岗位都有，职业发展道路复杂得难以想象啊。

所以论坛上经常看到测试工程师发帖说“工作X年，迷茫啊”，X的值从1到10不等，至于10年以上的，属于人到中年，也没时间来发帖表示迷茫了，或已转行了，当然这行业在中国一共也没多少年。。。

这个行业有以下特点

收入差距极大，有月薪四五千的黑盒测试工程师，也有年薪几十万的资深测试工程师
技术差距极大，有只会鼠标点点点的手工测试人员，也有精通程序代码的资深测试人员
工作内容差距极大，有人每天点点鼠标，测测XXX信息管理系统，有人测复杂的金融业务，有人写测试工具，有人测服务器、中间件、测socket、测高并发，有人搭建测试平台
不同岗位间技术壁垒严重，比如你让一个黑盒手工测试人员去看两个安全测试人员做渗透测试，他很可能完全看不懂这些人在干啥。如果你给一个网站手工/自动化测试人员做一份数据库测试人员的笔试题（考具体数据库的SQL、函数、存储过程），很可能他要交白卷。当然反过来说，要从技术型测试岗位转行去做黑盒手工测试人员是毫无壁垒的，但一般不会有人这么转。。。。
入行门槛低，一个其他专业的无关人员通过三个月简单培训，即可掌握普通的黑盒测试方法，成为一名软件测试工程师，拿3-5k薪水
黑盒手工测试是主流职业，国内大部分中小型公司都需要大量的黑盒手工测试人员，同时巨头级的金融机构、互联网公司仍然需要资深的黑盒测试人员

所以造成了大量外行人员涌入软件测试行业里的黑盒手工测试岗位，并给人以测试人员技术不行的总体印象。

软件测试行业下细分职位的发展路线

首先黑盒测试有以下特点：

门槛低，培训三个月可掌握；我做外包的时候，曾有公司将3个月培训的应届生伪装成2年经验黑盒测试工程师派去客户方工作。客户方毫不怀疑，并最终给以好评。
技术路线长度为零，一入黑盒不复返，想做技术难难难
测试技术知识无更新，仍然是上世纪六十年代左右的黑盒测试方法
依赖业务知识作为核心竞争力，如金融测试工程师
职业发展路线一般是测试管理方向或干脆转行。可以说绝大部分从业人员如果不想转行的，都想做测试管理，然后可想而知竞争激烈，而且真的只会黑盒测试的人以后越来越难拿到管理岗位。为什么？因为现在有很多人懂一点技术

所谓懂一点技术，就是会做一点自动化测试。

自动化测试有以下特点：

人人都在提，职位描述里都有，但大多数人都只懂个皮毛（因为他们做黑盒做久了，技术路线毫无积累）
自动化测试工作难找，首先自动化测试对企业来说成本极高，长期投入才能见效，这对国内小公司来说是不可能的，其次，项目适合自动化的不多，比如要做8年的40国语言的本地化测试项目就很适合，但毕竟少，一个极其不稳定的网站就很不适合，但国内大部分是这种。再次，招不到会做的人，你能招到的人基本上有两种，一是做黑盒测试为主，懂一点自动化测试的人，技术上属于基本指望不上的，学习能力基本没有，要靠高手教出来的；另一种是原来做开发，因压力大/无聊等原因转行做自动化测试的人。这种技术上有的还是可以的。但问题是测试思维欠缺。能做，但不一定做得好，经常陷入自动化测试的陷阱和泥潭中。但你如果想要招懂技术、测试思维好的人基本上招不到，当然钱多的巨头是可以把这些人用钱砸出来的。
懂自动化测试技术不一定能让你找到自动化测试工作，但对找手工测试工作的帮助极大。所以黑盒测试人员如果怕失业、怕被应届生挤走的，务必学一点点自动化测试来提高表面上的技术竞争力。就算不会做，也要会吹，而且基本上放心好了，一般公司是承受不了自动化测试的成本的，不会真的让你做自动化测试。
全靠自学，没人教。我不懂自动化测试的时候看国内的各种自动化测试教程、书籍、视频，都觉得高大上。我懂了之后看这些觉得都是shi。**为啥? 他们不教原理，只教工具。不教思维，只教方法。**后果是,你学了皮毛，学了“术”，而不懂原理，不懂“道”。自学者推荐使用英文资料自学，比中文资料强100倍。中文资料当然也有好的，但极少，更多的是某些人为赚钱写的，也有自己就一知半解的人瞎写-害人不浅。英文资料也有瞎写的，但好资料多。
高端岗位和开发人员的技能重叠性高。这有个什么问题呢，就是你做黑盒测试懂一点自动化测试的人，在竞争高端自动化测试岗位时，比不过资深开发。去看看互联网巨头里对自动化测试高端岗位的职位描述就发现了，跟你平时用的东西完全没关系。也就是说，自动化测试的从业人员想走高端岗位，需要面对来自转行的开发人员的巨大挑战。
可被手工测试替代。对大部分中小公司而言，一旦因为对自动化测试的成本估计不足，在自动化测试上就会陷入陷阱和泥潭。然后基于国庆，很多公司会用大量的手工测试实习生来代替自动化测试。效果也还行。所以除非是很适合自动化测试的项目和对成本有充分估计的公司，一般不会去做自动化。招大量实习生有另一个好处，就是容易产生管理岗位，黑盒测试出身的大多数就等着这种机会来做主管。
职业发展路线一般就是一直继续做自动化或尝试挑战巨头公司的高端岗位，更多的人会自动化之后去和黑盒测试人员竞争测试管理岗位，这时他们有技术上的先天优势。

自动化测试的陷阱和泥潭：

HP公司的QTP广告深入人心，录制回放的自动化现在仍有许多支持者。但这类岗位停留于工具的使用上，对个人来说，技术路线极短。因为这种工具就是为了让不怎么会技术的人使用而设计的。对公司来说，商业工具确实是成本最低的自动化测试解决方案。所以有不少公司仍然用他。但他很难招到愿意为公司牺牲自己的技术路线的人，一般他只能招到懂一点点技术的黑盒测试人员来做这种自动化测试。这里有一个很老的典故：某测试人员来到一家软件公司，技术负责人指着角落里一台积满灰尘的电脑说，这是我们的自动化测试专用机，不过录制的脚本老是跑不起来，现在我们已经不太搞自动化测试了。
开源工具单独无法使用，而懂一点技术的黑盒测试人员搭不好测试框架。以网站测试威力，最流行的开源工具selenium，必须和测试执行器（xunit系列）一起用。团队需要至少有一个人有搭建测试框架的能力。实际上很多团队没有这号人。搭出来的测试框架用四个字形容就是一塌糊涂。总之这对后面的人影响很大，如果搭框架的人已离职，你最好想清楚要不要去这种项目做自动化测试。一个蹩脚的框架会让你痛不欲生，产生还不如做手工测试的念头。
为什么懂一点技术的黑盒测试人员搭不好测试框架。为什么懂一点测试的开发人员也搭不好测试框架。因为，他们有一个共同特征：不懂自动化测试原理。 比如说，自动化测试要关注可维护性，要设计合理的代码重用机制，以网页测试最流行的开源工具selenium来说，官网就有介绍页面对象模型的使用方法。但一般人看不懂。再比如搭一个好的selenium框架需要很好的编程语言基础。假设你招了大部分转行做测试的初级开发人员或懂一点技术的黑盒测试人员用java和selenium来做网页自动化测试，你跟他说“多用组合少用继承”，他完全不懂你说什么，他反正写java就不管三七二十一继承继承再继承，他娘的他就会个继承，要么他干脆把所有东西塞一个类里面，然后你会看到他们在测试代码里写出几千行的上帝类、写出十几个类的继承链。你跟他说testNG的测试执行机制，他也一头雾水。我看到过某实际项目中使用了5年的自动化测试脚本，里面竟然是用自己的代码重新实现testNG自带功能的，并且除了增加测试代码复杂度以外毫无任何好处（难道是他们初代作者为了提高测试人员不可替代性的大智慧？），还有开发人员异想天开得用spring来封装测试类的（那他肯定没用过xunit系列测试执行器）。还有时候你会看到几千行测试数据和几千行测试预期结果放在同一个文本文件里，然后后来人找不到要找的数据，就胡乱地往这个巨大的文本文件里写一行自己要的数据，他也不管是不是跟前面的重复了。对这种，我只想说一句，那个已经离职掉了的原作者，你回来让我打一顿消消气好不好。

综上所述，基于这些原因，中小公司你想搞用户界面层的自动化测试，多半搞不好。但自动化测试不等于用户界面自动化测试。还可以搞接口，搞单元测试。接口测试是一个很适合做自动化的切入点，如果技术负责人问我怎么开始做自动化，我就会推荐他从接口测试的自动化开始。这一点对公司、对测试人员都有巨大好处，是少见的双赢。

我做接口测试工作时的体会：

这他娘的比黑盒测试简单无数倍，薪资竟然比黑盒测试高。
太容易了，好爽。
不要给我招懂一点技术的黑盒测试人员，也不要给我招转行做测试的初级开发。好吧，只能招到这样的。最后他们做的东西我都要返工一遍，还不如我自己做来着……算了慢慢教。如果不懂自动化测试原理，你烦我也烦。你烦做不好，我烦教不会。
做接口测试依赖于开发人员的配合，我们没时间通读代码（对更多的人来说，其实读也读不懂），开发愿意帮助你的话，在这个岗位上你的工作很容易取得成就。

接口功能测试是测试行业的一个黄金点。其后自然而然的你可以接触接口的压力测试，并接触正宗的性能测试。（待续）

https://www.cnblogs.com/yangxia-test/articles/4136717.html

关于测试工程师的职业发展思考
2017年，因华为裁员、中兴员工坠亡等事件，“IT吃青春饭”，“中年危机”…一词又在网络上掀起了一股巨浪。那些面临即将走上IT工作岗位，或已在IT工作岗位的青中老年们，不得不开始正视及思考自己的未来，有些或已豁然开朗、有些或已上岸、有些可能还在焦虑踌躇、有些可能一笑置之、活在当下。作为已在IT工作岗位上混迹十来年的屌丝，也谈自己的一些理解。

    哲学上有三个唯心问题：我是谁？我从哪里来？我要到哪里去？这三个问题，相信混过知乎的人都知道，因为已在知乎上被大家玩烂了。当然在万千回答中，也有一些人的一番见解也是非常正视、严肃的。而今天我要发表的不是宗教哲学或人的起源，仅仅想说明在我们的IT职业生涯起始，也许我们该进行的这番思考。

    从人的本能来说，活着，自然而然地就想追求幸福。只是每个人对幸福的定义不一样。也许你觉得幸福就是一家人坐在一起吃个饭、也许就是买个甜品慢慢地品尝、也许就是看一场电影…其实，幸福，就是你觉得此刻是最适合的。而此刻，即当下的你；最适合，即当下你的需求被满足了。那么，当下你的需求是什么，未来的需求又会是什么呢？可以先看看马斯洛的需求层次。马斯洛需求层次，将人的需求分成了5层次：

        第一层次生理需求；

        第二层次安全需求；

        第三层次社会需求；

        第四层次尊重需求；

        第五层次自我实现。

而人只要活着，就有生存需求，即满足生理需求和安全需求；当生存需求得到一定满足后，自然而然就会追求归属需求，因为人是一切社会关系的总和；当生存与归属都得到满足了后，也许有一部分会停留在这一层次，也许有一部分人会往上一层次，追求自我实现，这也是为什么历史那么会有那么人追求名留青史的原因。

这两年，IT行业面临经济周期波动与AI产业结构调整的双重压力，确实有很多运维与网络工程师因企业缩编或技术迭代而暂时失业。

很多人都在提运维网工失业后就只能去跑滴滴送外卖了，但我想分享的是，对于运维人员来说，即便失业以后仍然有很多副业可以尝试。

运维副业方向

运维，千万不要再错过这些副业机会！

第一个是知识付费类副业：输出经验打造个人IP

在线教育平台讲师

操作路径：在慕课网、极客时间等平台开设《CCNA实战》《Linux运维从入门到精通》等课程，或与培训机构合作录制专题课。
收益模式：课程销售分成、企业内训。

技术博客与公众号运营

操作路径：撰写网络协议解析、故障排查案例、设备评测等深度文章，通过公众号广告、付费专栏及企业合作变现。
收益关键：每周更新2-3篇原创，结合SEO优化与社群运营。

第二个是技术类副业：深耕专业领域变现

企业网络设备配置与优化服务

操作路径：为中小型企业提供路由器、交换机、防火墙等设备的配置调试、性能优化及故障排查服务。可通过本地IT服务公司合作或自建线上接单平台获客。
收益模式：按项目收费或签订年度维护合同。

远程IT基础设施代维

操作路径：通过承接服务器监控、日志分析、备份恢复等远程代维任务。适合熟悉Zabbix、ELK等技术栈的工程师。
收益模式：按工时计费或包月服务。

网络安全顾问与渗透测试

操作路径：利用OWASP Top 10漏洞分析、Nmap/BurpSuite等工具，为企业提供漏洞扫描、渗透测试及安全加固方案。需考取CISP等认证提升资质。
收益模式：单次渗透测试报告收费；长期安全顾问年费。

比如不久前跟我一起聊天的一个粉丝，他自己之前是大四实习的时候做的运维，发现运维7*24小时待命受不了，就准备转网安，学了差不多2个月，然后开始挖漏洞，光是补天的漏洞奖励也有个四五千，他说自己每个月的房租和饭钱就够了。

为什么我会推荐你网安是运维人员的绝佳副业&转型方向?

1.你的经验是巨大优势: 你比任何人都懂系统、网络和架构。漏洞挖掘、内网渗透、应急响应，这些核心安全能力本质上是“攻击视角下的运维”。你的运维背景不是从零开始，而是降维打击。

2.越老越吃香，规避年龄危机: 安全行业极度依赖经验。你的排查思路、风险意识和对复杂系统的理解能力，会随着项目积累而愈发珍贵，真正做到“姜还是老的辣”。

3.职业选择极其灵活: 你可以加入企业成为安全专家，可以兼职“挖洞“获取丰厚奖金，甚至可以成为自由顾问。这种多样性为你提供了前所未有的抗风险能力。

4.市场需求爆发，前景广阔: 在国家级政策的推动下，从一线城市到二三线地区，安全人才缺口正在急剧扩大。现在布局，正是抢占未来先机的黄金时刻。

运维转行学习路线

在这里插入图片描述

（一）第一阶段：网络安全筑基

1. 阶段目标

你已经有运维经验了，所以操作系统、网络协议这些你不是零基础。但要学安全，得重新过一遍——只不过这次我们是带着“安全视角”去学。

2. 学习内容

**操作系统强化：**你需要重点学习 Windows、Linux 操作系统安全配置，对比运维工作中常规配置与安全配置的差异，深化系统安全认知（比如说日志审计配置，为应急响应日志分析打基础）。

**网络协议深化：**结合过往网络协议应用经验，聚焦 TCP/IP 协议簇中的安全漏洞及防护机制，如 ARP 欺骗、TCP 三次握手漏洞等（为 SRC 漏扫中协议层漏洞识别铺垫）。

**Web 与数据库基础：**补充 Web 架构、HTTP 协议及 MySQL、SQL Server 等数据库安全相关知识，了解 Web 应用与数据库在网安中的作用。

**编程语言入门：**学习 Python 基础语法，掌握简单脚本编写，为后续 SRC 漏扫自动化脚本开发及应急响应工具使用打基础。

**工具实战：**集中训练抓包工具（Wireshark）、渗透测试工具（Nmap）、漏洞扫描工具（Nessus 基础版）的使用，结合模拟场景练习工具应用（掌握基础扫描逻辑，为 SRC 漏扫工具进阶做准备）。

（二）第二阶段：漏洞挖掘与 SRC 漏扫实战

1. 阶段目标

这阶段是真正开始“动手”了。信息收集、漏洞分析、工具联动，一样不能少。

熟练运用漏洞挖掘及 SRC 漏扫工具，具备独立挖掘常见漏洞及 SRC 平台漏扫实战能力，尝试通过 SRC 挖洞搞钱，不管是低危漏洞还是高危漏洞，先挖到一个。

2. 学习内容

信息收集实战：结合运维中对网络拓扑、设备信息的了解，强化基本信息收集、网络空间搜索引擎（Shodan、ZoomEye）、域名及端口信息收集技巧，针对企业级网络场景开展信息收集练习（为 SRC 漏扫目标筛选提供支撑）。

漏洞原理与分析：深入学习 SQL 注入、CSRF、文件上传等常见漏洞的原理、危害及利用方法，结合运维工作中遇到的类似问题进行关联分析（明确 SRC 漏扫重点漏洞类型）。

工具进阶与 SRC 漏扫应用：

系统学习 SQLMap、BurpSuite、AWVS 等工具的高级功能，开展工具联用实战训练；
专项学习 SRC 漏扫流程：包括 SRC 平台规则解读（如漏洞提交规范、奖励机制）、漏扫目标范围界定、漏扫策略制定（全量扫描 vs 定向扫描）、漏扫结果验证与复现；
实战训练：使用 AWVS+BurpSuite 组合开展 SRC 平台目标漏扫，练习 “扫描 - 验证 - 漏洞报告撰写 - 平台提交” 全流程。
SRC 实战演练：选择合适的 SRC 平台（如补天、CNVD）进行漏洞挖掘与漏扫实战，积累实战经验，尝试获取挖洞收益。

恭喜你，如果学到这里，你基本可以下班搞搞副业创收了，并且具备渗透测试工程师必备的「渗透技巧」、「溯源能力」，让你在黑客盛行的年代别背锅，工作实现升职加薪的同时也能开创副业创收！

如果你想要入坑黑客&网络安全，笔者给大家准备了一份：全网最全的网络安全资料包需要保存下方图片，微信扫码即可前往获取!

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

（三）第三阶段：渗透测试技能学习

1. 阶段目标

全面掌握渗透测试理论与实战技能，能够独立完成渗透测试项目，编写规范的渗透测试报告，具备渗透测试工程师岗位能力，为护网红蓝对抗及应急响应提供技术支撑。

2. 学习内容

渗透测试核心理论：系统学习渗透测试流程、方法论及法律法规知识，明确渗透测试边界与规范（与红蓝对抗攻击边界要求一致）。

实战技能训练：开展漏洞扫描、漏洞利用、电商系统渗透测试、内网渗透、权限提升（Windows、Linux）、代码审计等实战训练，结合运维中熟悉的系统环境设计测试场景（强化红蓝对抗攻击端技术能力）。

工具开发实践：基于 Python 编程基础，学习渗透测试工具开发技巧，开发简单的自动化测试脚本（可拓展用于 SRC 漏扫自动化及应急响应辅助工具）。

报告编写指导：学习渗透测试报告的结构与编写规范，完成多个不同场景的渗透测试报告撰写练习（与 SRC 漏洞报告、应急响应报告撰写逻辑互通）。

（四）第四阶段：企业级安全攻防（含红蓝对抗）、应急响应

1. 阶段目标

掌握企业级安全攻防、护网红蓝对抗及应急响应核心技能，考取网安行业相关证书。

2. 学习内容

护网红蓝对抗专项：

红蓝对抗基础：学习护网行动背景、红蓝对抗规则（攻击范围、禁止行为）、红蓝双方角色职责（红队：模拟攻击；蓝队：防御检测与应急处置）；
红队实战技能：强化内网渗透、横向移动、权限维持、免杀攻击等高级技巧，模拟护网中常见攻击场景；
蓝队实战技能：学习安全设备（防火墙、IDS/IPS、WAF）联动防御配置、安全监控平台（SOC）使用、攻击行为研判与溯源方法；
模拟护网演练：参与团队式红蓝对抗演练，完整体验 “攻击 - 检测 - 防御 - 处置” 全流程。
应急响应专项：
应急响应流程：学习应急响应 6 步流程（准备 - 检测 - 遏制 - 根除 - 恢复 - 总结），掌握各环节核心任务；
实战技能：开展操作系统入侵响应（如病毒木马清除、异常进程终止）、数据泄露应急处置、漏洞应急修补等实战训练；
工具应用：学习应急响应工具（如 Autoruns、Process Monitor、病毒分析工具）的使用，提升处置效率；
案例复盘：分析真实网络安全事件应急响应案例（如勒索病毒事件），总结处置经验。
其他企业级攻防技能：学习社工与钓鱼、CTF 夺旗赛解析等内容，结合运维中企业安全防护需求深化理解。