14、技术领域中的关键知识与实践建议

技术领域中的关键知识与实践建议

1. 安全团队与SRE的相似处境

在实际工作中，我们常常会遇到可靠性存疑的应用程序被仓促推出。当这些应用首次出现故障时，我们会被召集来提升其可靠性，这让我们的工作变得更加艰难。其实我们更希望能在应用的设计和规划阶段就参与其中，将可靠性作为首要考虑因素，因为很多问题本是可以避免的，但这样的情况却不断消耗着我们的精力。

我曾经是一名SRE，但现在回归到了我最初热爱的安全领域，致力于增强系统安全性、保护用户数据并抵御恶意攻击。换了团队后，我有了新的感悟：安全团队之于SRE，就如同SRE之于产品团队。我们的职责是支持大家确保系统安全、稳定运行，从某种程度上说，我们就是你们的SRE团队。然而，很多时候你们对待我们的方式，就像那些只关注单一目标的产品团队对待SRE一样。

我听到过很多抱怨，你们觉得我们总是过于谨慎，总是设想最坏的情况，从而拖慢了进度。更糟糕的是，我们有时无法提供足够的数据来证明我们工作的价值。与扩展服务器以应对DDoS攻击或闪购活动不同，安全工作很难有直观的衡量标准。作为安全工程师，我无法明确指出某个必须修复的漏洞，因为在系统未被攻击之前，很难判断其是否安全，也无法证明一个系统是绝对安全的。

安全工作往往是吃力不讨好的，安全团队在公司中所体现的价值常常不如SRE团队，主要是因为我们的工作比较抽象。我们有很多有效的工具和技术，例如：
- 及时更新操作系统、虚拟机和容器；
- 安装安全补丁；
- 扫描公司网络和IP，检测未经我们许可就上线的软件；
- 鼓励开发者更新依赖项；
- 在代码发布前进行模糊测试；
- 确保权限设置合理。

我们已经尽力做好这些