y*a
2 楼
Dear Mr. YangYangBa:
Thank you for contacting me to express your support for changes in the
immigration system. Your opinion is very important to me, and I appreciate
the opportunity to respond to you about this critical issue.
You will be pleased to know that I recently introduced a comprehensive
immigration reform bill, which specifically addresses a number of your
proposed changes. Among other proposals, this legislation includes the
recapture provision which provides that unused visa numbers in a given year
will "roll over" to the next fiscal year, and it exempts immediate relatives
from the cap on the number of immigrant visas. It also reclassifies the
spouse and dependent children of legal permanent residents to the "immediate
relative" category. Furthermore, it increases the immigration limits per
country for family-based immigration from 7 to 15 percent of total
admissions and eliminates the employment-based caps.
I believe we can create reform in a safe, orderly, and legal process that
preserves the promise of America for all. It can create a pathway towards
citizenship, make the process for receiving green cards more efficient, and
create employment systems that are both business and family friendly.
I have continuously worked with my colleagues to create and pass legislation
that would enhance border security, while also providing a legitimate way
for the estimated 12 million undocumented workers to come out of the shadows
and earn United States citizenship. These undocumented workers should pass
a series of strict and critical benchmarks, such as paying fines, learning
English, and waiting at the back of the citizenship line behind those who
have pursued legal means of attaining citizenship.
I believe this legislation provides concrete proposals which we can build
upon. We must persistently advocate for the enactment of comprehensive
immigration reform since it is the ultimate solution to our nation's broken
immigration system. In addition to working for comprehensive immigration
reform, I will look for opportunities to pursue independent reforms that
would help businesses and families during this Congress.
Again, thank you for sharing your thoughts with me. Please do not hesitate
to contact me if I can be of further assistance. I invite you to visit my
website http://menendez.senate.gov to learn more about how I am standing up for New Jersey families in the United States Senate.
Thank you for contacting me to express your support for changes in the
immigration system. Your opinion is very important to me, and I appreciate
the opportunity to respond to you about this critical issue.
You will be pleased to know that I recently introduced a comprehensive
immigration reform bill, which specifically addresses a number of your
proposed changes. Among other proposals, this legislation includes the
recapture provision which provides that unused visa numbers in a given year
will "roll over" to the next fiscal year, and it exempts immediate relatives
from the cap on the number of immigrant visas. It also reclassifies the
spouse and dependent children of legal permanent residents to the "immediate
relative" category. Furthermore, it increases the immigration limits per
country for family-based immigration from 7 to 15 percent of total
admissions and eliminates the employment-based caps.
I believe we can create reform in a safe, orderly, and legal process that
preserves the promise of America for all. It can create a pathway towards
citizenship, make the process for receiving green cards more efficient, and
create employment systems that are both business and family friendly.
I have continuously worked with my colleagues to create and pass legislation
that would enhance border security, while also providing a legitimate way
for the estimated 12 million undocumented workers to come out of the shadows
and earn United States citizenship. These undocumented workers should pass
a series of strict and critical benchmarks, such as paying fines, learning
English, and waiting at the back of the citizenship line behind those who
have pursued legal means of attaining citizenship.
I believe this legislation provides concrete proposals which we can build
upon. We must persistently advocate for the enactment of comprehensive
immigration reform since it is the ultimate solution to our nation's broken
immigration system. In addition to working for comprehensive immigration
reform, I will look for opportunities to pursue independent reforms that
would help businesses and families during this Congress.
Again, thank you for sharing your thoughts with me. Please do not hesitate
to contact me if I can be of further assistance. I invite you to visit my
website http://menendez.senate.gov to learn more about how I am standing up for New Jersey families in the United States Senate.
B*A
3 楼
~$1000 左右,无需monitor的?
速度快,不玩game的
速度快,不玩game的
o*e
4 楼
【 以下文字转载自 Working 讨论区 】
发信人: onetiemyshoe (onetiemyshoe), 信区: Working
标 题: 建议马工们有机会多搞信息安全、安全开发方面的东西 (转载)
发信站: BBS 未名空间站 (Sun Jun 14 10:29:29 2015, 美东)
发信人: condorlee (condorlee), 信区: JobHunting
标 题: 建议马工们有机会多搞信息安全、安全开发方面的东西
发信站: BBS 未名空间站 (Sat Jun 13 17:08:45 2015, 美东)
不管是自己业余学,还是平时工作中有涉及到的,主动去学习、承担,或者公司内部成
立安全团队,愿意接受内部没有安全经验的人转岗,都要抓住机会,尤其是安全开发方
面。
现在因为人才紧缺,所以很多公司不管是外部招聘、还是内部转岗,要求门槛都不高,
进场正是机会。码工们的开发功底,再往安全方向转移时,大部分也仍然会发挥价值,
不会浪费。
整个世界,信息化程度已经很深,可是信息安全落后太多,各个公司欠的债几乎是还不
完的。我是做这个方面的所以更了解内情。
可以说是一塌糊涂,现在暴露出来的这个公司,那个银行被攻击,都只是冰山一角。大
部分的攻击都是很弱智很简单的。很多所谓的黑客,也就是拿着别人写好的工具,东戳
戳西捣捣,结果到处都是捅出来的窟窿。
窗户没关,大家一眼就看见。软件中某个地方有个漏洞,除非花大量时间仔细分析代码
逻辑,否则根本看不见。自动化工具效率高,但是只能发现特定类型的问题,而且误报
也往往很严重,仍然需要大量人工分析。
后面5年,10年,20年,信息安全状况只能是越来越严重。而目前信息安全人员已经是
严重紧缺。很多公司几个月、甚至1年都找不到一个合适的人,尤其是既懂安全也懂开
发的。因为前些年,所谓搞安全的大部分都是反病毒、反恶意软件、网络、主机、系统
安全方面的,做安全开发、代码安全方面的人员很少。
现在每个startup,每个中型it公司,每个中大型公司的每个产品线,都需要安全开发
人员。像我过去几个月,除了FLG这样的公司没有收到hr的主动骚扰,其他像uber、
airbnb、salesforce、netsuite、citrix、netflix、intuit等等,不停的有hr联系我
,有些在我拒绝后过了两个月,职位还是空缺,然后又联系我。
希望这些空缺能有国人兄弟们填上。目前这个领域看起来烙印的比例还不高,中国人还
挺多,老美也不少。大家如果在纯写代码方面感觉没有大的发展前途的,强烈建议往这
个方向发展。将来如果自己想做startup,做安全也是个更容易进入的领域。
大家如果有具体的问题,欢迎提问,我会尽量回答
发信人: condorlee (condorlee), 信区: JobHunting
标 题: Re: 建议马工们有机会多搞信息安全、安全开发方面的东西
发信站: BBS 未名空间站 (Sat Jun 13 19:29:40 2015, 美东)
我是甲方的
做security researcher也不错,短期内待遇不高,因为安全公司一般都比较穷,但是
技术积累,出点书、搞几个patent,在安全会议上讲讲,然后很容易获得甲方的喜爱
condorlee 的书单:
我大概列一下吧。
学安全我觉得最好是在工作中学习,比如在自己的组里,主动挑头,研究一下本项目安
全开发上面可以做哪些事情?有目的的,逐渐研究学习。如果为了学而学,可能会比较
茫然,因为分支领域多而杂。
安全开发流程
============
微软是先驱,他们的主页,应该足够学一阵子了
https://www.microsoft.com/en-us/sdl/
先从安全开发流程看起,也避免了过早陷入大量技术细节,导致茫然
web安全开发
===========
www.owasp.org 是一个web安全开发的综合性网站,有用的信息挺多
1. https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf 是安全测试指南
2. 安全开发指南也有,但是目前还是未完稿状态。网站上能找到链接,我就不贴了
3. 著名的OWASP top 10,搞安全的跟人打招呼专用
https://www.owasp.org/index.php/Top_10_2013-Top_10
4. https://www.owasp.org/index.php/Cheat_Sheets 介绍各类常见安全问题的基本解
决思路
书的话,可以看看黑客大曝光: http://www.amazon.com/Hacking-Exposed-Applications-Third-Edition/dp/0071740643
有中文版,电子书应该也能找到
密码学
======
密码学可以先看一遍这个打打底:http://www.amazon.com/Applied-Cryptography-Protocols-Algorithms-Source/dp/1119096723
我记得也有中文版
其他的PKI,SSL/TLS,知识比较杂,建议在网上搜搜资料看
认证、授权
==========
SSO, SAML, OAuth, OpenID,Google都能搜到不错的内容可以自己看
C/C++/native程序的安全,没有太红火,因为攻击一般比较困难,不像web是标准协议
而且太开放了。早些年主要就是buffer overflow,现在已经少多了,可以google了解
一下,先不深入学习应该也可以
从程序的逻辑角度而言:
1. 用户管理/登陆/验证/授权/会话管理
保证数据不被非法访问,只有合法用户,而且只能访问自己权限内的数据
2. 数据的保护
包括Internet通讯用TLS/SSL
数据存储时,如果是敏感数据,比如信用卡号,需要加密
3. 各种语言级别的问题
比如SQL injection, cross site scripting, buffer overflow等等
STIG是政府搞的规范,算是大而全的,如果能做到完全符合它的要求,那么你的产品安
全水平应该已经很不错了。
就算不打算通过它的认证,把它的规范当做安全开发的学习资料也不错
具体在安全开发流程里,上面那位说的,security design, secure coding,testing
,主要是这几步了
你说的打补丁,我估计是说如果用了第三方开发库、或者服务器组件,需要及时打安全
补丁吧?这个是毫无疑问的,不过就没啥技术含量了
发信人: onetiemyshoe (onetiemyshoe), 信区: Working
标 题: 建议马工们有机会多搞信息安全、安全开发方面的东西 (转载)
发信站: BBS 未名空间站 (Sun Jun 14 10:29:29 2015, 美东)
发信人: condorlee (condorlee), 信区: JobHunting
标 题: 建议马工们有机会多搞信息安全、安全开发方面的东西
发信站: BBS 未名空间站 (Sat Jun 13 17:08:45 2015, 美东)
不管是自己业余学,还是平时工作中有涉及到的,主动去学习、承担,或者公司内部成
立安全团队,愿意接受内部没有安全经验的人转岗,都要抓住机会,尤其是安全开发方
面。
现在因为人才紧缺,所以很多公司不管是外部招聘、还是内部转岗,要求门槛都不高,
进场正是机会。码工们的开发功底,再往安全方向转移时,大部分也仍然会发挥价值,
不会浪费。
整个世界,信息化程度已经很深,可是信息安全落后太多,各个公司欠的债几乎是还不
完的。我是做这个方面的所以更了解内情。
可以说是一塌糊涂,现在暴露出来的这个公司,那个银行被攻击,都只是冰山一角。大
部分的攻击都是很弱智很简单的。很多所谓的黑客,也就是拿着别人写好的工具,东戳
戳西捣捣,结果到处都是捅出来的窟窿。
窗户没关,大家一眼就看见。软件中某个地方有个漏洞,除非花大量时间仔细分析代码
逻辑,否则根本看不见。自动化工具效率高,但是只能发现特定类型的问题,而且误报
也往往很严重,仍然需要大量人工分析。
后面5年,10年,20年,信息安全状况只能是越来越严重。而目前信息安全人员已经是
严重紧缺。很多公司几个月、甚至1年都找不到一个合适的人,尤其是既懂安全也懂开
发的。因为前些年,所谓搞安全的大部分都是反病毒、反恶意软件、网络、主机、系统
安全方面的,做安全开发、代码安全方面的人员很少。
现在每个startup,每个中型it公司,每个中大型公司的每个产品线,都需要安全开发
人员。像我过去几个月,除了FLG这样的公司没有收到hr的主动骚扰,其他像uber、
airbnb、salesforce、netsuite、citrix、netflix、intuit等等,不停的有hr联系我
,有些在我拒绝后过了两个月,职位还是空缺,然后又联系我。
希望这些空缺能有国人兄弟们填上。目前这个领域看起来烙印的比例还不高,中国人还
挺多,老美也不少。大家如果在纯写代码方面感觉没有大的发展前途的,强烈建议往这
个方向发展。将来如果自己想做startup,做安全也是个更容易进入的领域。
大家如果有具体的问题,欢迎提问,我会尽量回答
发信人: condorlee (condorlee), 信区: JobHunting
标 题: Re: 建议马工们有机会多搞信息安全、安全开发方面的东西
发信站: BBS 未名空间站 (Sat Jun 13 19:29:40 2015, 美东)
我是甲方的
做security researcher也不错,短期内待遇不高,因为安全公司一般都比较穷,但是
技术积累,出点书、搞几个patent,在安全会议上讲讲,然后很容易获得甲方的喜爱
condorlee 的书单:
我大概列一下吧。
学安全我觉得最好是在工作中学习,比如在自己的组里,主动挑头,研究一下本项目安
全开发上面可以做哪些事情?有目的的,逐渐研究学习。如果为了学而学,可能会比较
茫然,因为分支领域多而杂。
安全开发流程
============
微软是先驱,他们的主页,应该足够学一阵子了
https://www.microsoft.com/en-us/sdl/
先从安全开发流程看起,也避免了过早陷入大量技术细节,导致茫然
web安全开发
===========
www.owasp.org 是一个web安全开发的综合性网站,有用的信息挺多
1. https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf 是安全测试指南
2. 安全开发指南也有,但是目前还是未完稿状态。网站上能找到链接,我就不贴了
3. 著名的OWASP top 10,搞安全的跟人打招呼专用
https://www.owasp.org/index.php/Top_10_2013-Top_10
4. https://www.owasp.org/index.php/Cheat_Sheets 介绍各类常见安全问题的基本解
决思路
书的话,可以看看黑客大曝光: http://www.amazon.com/Hacking-Exposed-Applications-Third-Edition/dp/0071740643
有中文版,电子书应该也能找到
密码学
======
密码学可以先看一遍这个打打底:http://www.amazon.com/Applied-Cryptography-Protocols-Algorithms-Source/dp/1119096723
我记得也有中文版
其他的PKI,SSL/TLS,知识比较杂,建议在网上搜搜资料看
认证、授权
==========
SSO, SAML, OAuth, OpenID,Google都能搜到不错的内容可以自己看
C/C++/native程序的安全,没有太红火,因为攻击一般比较困难,不像web是标准协议
而且太开放了。早些年主要就是buffer overflow,现在已经少多了,可以google了解
一下,先不深入学习应该也可以
从程序的逻辑角度而言:
1. 用户管理/登陆/验证/授权/会话管理
保证数据不被非法访问,只有合法用户,而且只能访问自己权限内的数据
2. 数据的保护
包括Internet通讯用TLS/SSL
数据存储时,如果是敏感数据,比如信用卡号,需要加密
3. 各种语言级别的问题
比如SQL injection, cross site scripting, buffer overflow等等
STIG是政府搞的规范,算是大而全的,如果能做到完全符合它的要求,那么你的产品安
全水平应该已经很不错了。
就算不打算通过它的认证,把它的规范当做安全开发的学习资料也不错
具体在安全开发流程里,上面那位说的,security design, secure coding,testing
,主要是这几步了
你说的打补丁,我估计是说如果用了第三方开发库、或者服务器组件,需要及时打安全
补丁吧?这个是毫无疑问的,不过就没啥技术含量了
a*n
5 楼
换登机牌和工作人员要guest pass,看你RP
【在 l*******y 的大作中提到】
: 记得以前有人说可以,怎样操作? UA的飞机.
【在 l*******y 的大作中提到】
: 记得以前有人说可以,怎样操作? UA的飞机.
v*7
6 楼
thanks for sharing... quite a responsible reply...
l*a
7 楼
随便买吧。随便推荐什么牌子都是被人喷死,呵呵。
ET
8 楼
我做了2年和安全和加密有关的产品开发,不得不同意这个。
在一般大点的公司,develop for security 我很难相信那些产品经理能懂,或在乎。
用软件比如iexplore去那自己iphone下那些app sandbox里内容,可以看出一堆明文暴
露信息的应用。
当然了,第一个问题应该是为什么你的手机落入别人手里而且手机还没密码。
就和把电脑送出去让别人看一样。
在stanford读了这门课,https://crypto.stanford.edu/cs155/
学了不少攻击的技术,苦无用武之地。
当然了,很多网站,app,更本不需要这些。
一个简单的,box的access token是universisal的,在网站上登录后拿回的token,放
到mobile app上,照样可以make request,拿到内容。去年的。现在不知道改进了没。
但parse在这点改进了。一个device,一个token
【在 o**********e 的大作中提到】
: 【 以下文字转载自 Working 讨论区 】
: 发信人: onetiemyshoe (onetiemyshoe), 信区: Working
: 标 题: 建议马工们有机会多搞信息安全、安全开发方面的东西 (转载)
: 发信站: BBS 未名空间站 (Sun Jun 14 10:29:29 2015, 美东)
: 发信人: condorlee (condorlee), 信区: JobHunting
: 标 题: 建议马工们有机会多搞信息安全、安全开发方面的东西
: 发信站: BBS 未名空间站 (Sat Jun 13 17:08:45 2015, 美东)
: 不管是自己业余学,还是平时工作中有涉及到的,主动去学习、承担,或者公司内部成
: 立安全团队,愿意接受内部没有安全经验的人转岗,都要抓住机会,尤其是安全开发方
: 面。
在一般大点的公司,develop for security 我很难相信那些产品经理能懂,或在乎。
用软件比如iexplore去那自己iphone下那些app sandbox里内容,可以看出一堆明文暴
露信息的应用。
当然了,第一个问题应该是为什么你的手机落入别人手里而且手机还没密码。
就和把电脑送出去让别人看一样。
在stanford读了这门课,https://crypto.stanford.edu/cs155/
学了不少攻击的技术,苦无用武之地。
当然了,很多网站,app,更本不需要这些。
一个简单的,box的access token是universisal的,在网站上登录后拿回的token,放
到mobile app上,照样可以make request,拿到内容。去年的。现在不知道改进了没。
但parse在这点改进了。一个device,一个token
【在 o**********e 的大作中提到】
: 【 以下文字转载自 Working 讨论区 】
: 发信人: onetiemyshoe (onetiemyshoe), 信区: Working
: 标 题: 建议马工们有机会多搞信息安全、安全开发方面的东西 (转载)
: 发信站: BBS 未名空间站 (Sun Jun 14 10:29:29 2015, 美东)
: 发信人: condorlee (condorlee), 信区: JobHunting
: 标 题: 建议马工们有机会多搞信息安全、安全开发方面的东西
: 发信站: BBS 未名空间站 (Sat Jun 13 17:08:45 2015, 美东)
: 不管是自己业余学,还是平时工作中有涉及到的,主动去学习、承担,或者公司内部成
: 立安全团队,愿意接受内部没有安全经验的人转岗,都要抓住机会,尤其是安全开发方
: 面。
B*A
9 楼
这么惨...
那说说哪些是$1000可买的必需的feature吧,我电脑盲...
【在 l*********a 的大作中提到】
: 随便买吧。随便推荐什么牌子都是被人喷死,呵呵。
那说说哪些是$1000可买的必需的feature吧,我电脑盲...
【在 l*********a 的大作中提到】
: 随便买吧。随便推荐什么牌子都是被人喷死,呵呵。
c*e
10 楼
startup 还不到需要 security engineer的阶段, 所以做安全的根本没发财的机会。。。
【在 ET 的大作中提到】
: 我做了2年和安全和加密有关的产品开发,不得不同意这个。
: 在一般大点的公司,develop for security 我很难相信那些产品经理能懂,或在乎。
: 用软件比如iexplore去那自己iphone下那些app sandbox里内容,可以看出一堆明文暴
: 露信息的应用。
: 当然了,第一个问题应该是为什么你的手机落入别人手里而且手机还没密码。
: 就和把电脑送出去让别人看一样。
: 在stanford读了这门课,https://crypto.stanford.edu/cs155/
: 学了不少攻击的技术,苦无用武之地。
: 当然了,很多网站,app,更本不需要这些。
: 一个简单的,box的access token是universisal的,在网站上登录后拿回的token,放
【在 ET 的大作中提到】
: 我做了2年和安全和加密有关的产品开发,不得不同意这个。
: 在一般大点的公司,develop for security 我很难相信那些产品经理能懂,或在乎。
: 用软件比如iexplore去那自己iphone下那些app sandbox里内容,可以看出一堆明文暴
: 露信息的应用。
: 当然了,第一个问题应该是为什么你的手机落入别人手里而且手机还没密码。
: 就和把电脑送出去让别人看一样。
: 在stanford读了这门课,https://crypto.stanford.edu/cs155/
: 学了不少攻击的技术,苦无用武之地。
: 当然了,很多网站,app,更本不需要这些。
: 一个简单的,box的access token是universisal的,在网站上登录后拿回的token,放
i*a
11 楼
dell
fast dual core cpu, 4GB ram, 500gb+ harddisk, cheap video card
【在 B*******A 的大作中提到】
: 这么惨...
: 那说说哪些是$1000可买的必需的feature吧,我电脑盲...
fast dual core cpu, 4GB ram, 500gb+ harddisk, cheap video card
【在 B*******A 的大作中提到】
: 这么惨...
: 那说说哪些是$1000可买的必需的feature吧,我电脑盲...
o*e
12 楼
zan! COURSERA 有CYBERSECURITY TRACK。
顺便给老文做个广告。
http://www.mitbbs.com/article_t/JobHunting/32675607.html
【在 ET 的大作中提到】
: 我做了2年和安全和加密有关的产品开发,不得不同意这个。
: 在一般大点的公司,develop for security 我很难相信那些产品经理能懂,或在乎。
: 用软件比如iexplore去那自己iphone下那些app sandbox里内容,可以看出一堆明文暴
: 露信息的应用。
: 当然了,第一个问题应该是为什么你的手机落入别人手里而且手机还没密码。
: 就和把电脑送出去让别人看一样。
: 在stanford读了这门课,https://crypto.stanford.edu/cs155/
: 学了不少攻击的技术,苦无用武之地。
: 当然了,很多网站,app,更本不需要这些。
: 一个简单的,box的access token是universisal的,在网站上登录后拿回的token,放
顺便给老文做个广告。
http://www.mitbbs.com/article_t/JobHunting/32675607.html
【在 ET 的大作中提到】
: 我做了2年和安全和加密有关的产品开发,不得不同意这个。
: 在一般大点的公司,develop for security 我很难相信那些产品经理能懂,或在乎。
: 用软件比如iexplore去那自己iphone下那些app sandbox里内容,可以看出一堆明文暴
: 露信息的应用。
: 当然了,第一个问题应该是为什么你的手机落入别人手里而且手机还没密码。
: 就和把电脑送出去让别人看一样。
: 在stanford读了这门课,https://crypto.stanford.edu/cs155/
: 学了不少攻击的技术,苦无用武之地。
: 当然了,很多网站,app,更本不需要这些。
: 一个简单的,box的access token是universisal的,在网站上登录后拿回的token,放
B*A
13 楼
这个配置怎么样?$1,091.00
OptiPlex 980 MT:OptiPlex 980 Minitower Base Standard Power Supply 980MT
Operating System(s): Genuine Windows® 7 Professional Bonus-Windows XP
Professional downgrade W7PX898
Processors:Intel® Core™ i5 Dual Core Processor 650 with VT (3.
20GHz, 4M)
Boot Hard Drives:500GB 7,200 RPM 3.5" SATA, 3.0Gb/s Hard Drive with NCQ and
16MB Cache
Memory: 4GB DDR3 Non-ECC SDRAM,1333MHz, (2 DIMM)
Removable Media Storage Device:16X DVD+/-RW and 16X DVD,SATA,Roxio
OptiPlex 980 MT:OptiPlex 980 Minitower Base Standard Power Supply 980MT
Operating System(s): Genuine Windows® 7 Professional Bonus-Windows XP
Professional downgrade W7PX898
Processors:Intel® Core™ i5 Dual Core Processor 650 with VT (3.
20GHz, 4M)
Boot Hard Drives:500GB 7,200 RPM 3.5" SATA, 3.0Gb/s Hard Drive with NCQ and
16MB Cache
Memory: 4GB DDR3 Non-ECC SDRAM,1333MHz, (2 DIMM)
Removable Media Storage Device:16X DVD+/-RW and 16X DVD,SATA,Roxio
o*e
14 楼
不是身家的问题。
是性命的问题。
。。
【在 c*****e 的大作中提到】
: startup 还不到需要 security engineer的阶段, 所以做安全的根本没发财的机会。。。
是性命的问题。
。。
【在 c*****e 的大作中提到】
: startup 还不到需要 security engineer的阶段, 所以做安全的根本没发财的机会。。。
ET
15 楼
做web app到未必需要security engineer,就是用现有的framework。 但问题是很多都
懒得用(或不知道)
做安全没发财的机会是根本的不同意。看看lookout。
安全产品大多都是b2b,consumer未必知道,但这个B2b的创业公司被收购的机会大大高
于consumer product。
实际上大多VC更倾向于b2b的创业公司,austin本地的创业公司的majority是这个model。
。。
【在 c*****e 的大作中提到】
: startup 还不到需要 security engineer的阶段, 所以做安全的根本没发财的机会。。。
懒得用(或不知道)
做安全没发财的机会是根本的不同意。看看lookout。
安全产品大多都是b2b,consumer未必知道,但这个B2b的创业公司被收购的机会大大高
于consumer product。
实际上大多VC更倾向于b2b的创业公司,austin本地的创业公司的majority是这个model。
。。
【在 c*****e 的大作中提到】
: startup 还不到需要 security engineer的阶段, 所以做安全的根本没发财的机会。。。
g*g
16 楼
b2b风险小,回报也小。很难过100亿估值。
model。
【在 ET 的大作中提到】
: 做web app到未必需要security engineer,就是用现有的framework。 但问题是很多都
: 懒得用(或不知道)
: 做安全没发财的机会是根本的不同意。看看lookout。
: 安全产品大多都是b2b,consumer未必知道,但这个B2b的创业公司被收购的机会大大高
: 于consumer product。
: 实际上大多VC更倾向于b2b的创业公司,austin本地的创业公司的majority是这个model。
:
: 。。
model。
【在 ET 的大作中提到】
: 做web app到未必需要security engineer,就是用现有的framework。 但问题是很多都
: 懒得用(或不知道)
: 做安全没发财的机会是根本的不同意。看看lookout。
: 安全产品大多都是b2b,consumer未必知道,但这个B2b的创业公司被收购的机会大大高
: 于consumer product。
: 实际上大多VC更倾向于b2b的创业公司,austin本地的创业公司的majority是这个model。
:
: 。。
c*9
17 楼
搞这个性价比不高吧。有能力搞通这个,搞别的也能发财。我认识搞搞信息安全大多转
到别的领域。
【在 o**********e 的大作中提到】
: 不是身家的问题。
: 是性命的问题。
:
: 。。
到别的领域。
【在 o**********e 的大作中提到】
: 不是身家的问题。
: 是性命的问题。
:
: 。。
c*e
18 楼
这个真是让我惊讶了
现在安全工程师、架构师,各个公司都在招,找不到。竟然有人转到别的领域去?
【在 c*******9 的大作中提到】
: 搞这个性价比不高吧。有能力搞通这个,搞别的也能发财。我认识搞搞信息安全大多转
: 到别的领域。
现在安全工程师、架构师,各个公司都在招,找不到。竟然有人转到别的领域去?
【在 c*******9 的大作中提到】
: 搞这个性价比不高吧。有能力搞通这个,搞别的也能发财。我认识搞搞信息安全大多转
: 到别的领域。
c*e
19 楼
刚刚成立的startup,肯定不会管安全的
但是到了3轮、4轮,张罗着上市了,就都会开始招安全人员的。airbnb、uber、各家大
小公司都在招聘呢
linkedin搜一搜 security engineer或者 security architect,熟悉的公司名字都会
出现的
。。
【在 c*****e 的大作中提到】
: startup 还不到需要 security engineer的阶段, 所以做安全的根本没发财的机会。。。
但是到了3轮、4轮,张罗着上市了,就都会开始招安全人员的。airbnb、uber、各家大
小公司都在招聘呢
linkedin搜一搜 security engineer或者 security architect,熟悉的公司名字都会
出现的
。。
【在 c*****e 的大作中提到】
: startup 还不到需要 security engineer的阶段, 所以做安全的根本没发财的机会。。。
c*9
20 楼
3轮、4轮拿不到多少股份吧。
【在 c*******e 的大作中提到】
: 刚刚成立的startup,肯定不会管安全的
: 但是到了3轮、4轮,张罗着上市了,就都会开始招安全人员的。airbnb、uber、各家大
: 小公司都在招聘呢
: linkedin搜一搜 security engineer或者 security architect,熟悉的公司名字都会
: 出现的
:
: 。。
【在 c*******e 的大作中提到】
: 刚刚成立的startup,肯定不会管安全的
: 但是到了3轮、4轮,张罗着上市了,就都会开始招安全人员的。airbnb、uber、各家大
: 小公司都在招聘呢
: linkedin搜一搜 security engineer或者 security architect,熟悉的公司名字都会
: 出现的
:
: 。。
c*9
21 楼
各个公司找不到人,正说明这类技术要达到实用门槛高或者比较苦逼。
听一个朋友说搞这个太麻烦,道高一尺,魔高一丈。除非很有兴趣的才能搞下去。
【在 c*******e 的大作中提到】
: 这个真是让我惊讶了
: 现在安全工程师、架构师,各个公司都在招,找不到。竟然有人转到别的领域去?
听一个朋友说搞这个太麻烦,道高一尺,魔高一丈。除非很有兴趣的才能搞下去。
【在 c*******e 的大作中提到】
: 这个真是让我惊讶了
: 现在安全工程师、架构师,各个公司都在招,找不到。竟然有人转到别的领域去?
c*e
22 楼
1. 找不到人,主要的原因是前些年大家很不够重视。所以人才没有积累。最近两年攻
击遍地,大家都恐慌了,突然要找大量的安全工程师,哪里有呢
2. 真要成安全专家,那确实不容易,需要时间和积累
但是现实中,大部分情况都是小半瓶醋忽悠平底子。那些招聘安全人员的公司,很多自
己面试时都拿不出像样的人来面试专业知识。
3. 魔高一丈这个说法,估计你朋友是在安全公司,做安全服务或者产品的吧?比如应
用防火墙、入侵检测什么的。这个整个方向我觉得是有问题的,因为它既不了解应用,
对攻击也是基于模式猜测为主,方向有问题,那么战术层面再怎么努力,也很难。
我主贴里提到过,安全公司都穷,待遇不会高的。所以建议去甲方
做应用级别的安全开发,防御技术思路其实反而很简单,因为自己的应用程序自己知道
,我不用考虑别人怎么攻击,只保证凡是非法的我一概拒绝。
应用安全的挑战在于如果降低成本,因为代码量太大,人工分析或者测试太低效,工具
又不够真的智能。
【在 c*******9 的大作中提到】
: 各个公司找不到人,正说明这类技术要达到实用门槛高或者比较苦逼。
: 听一个朋友说搞这个太麻烦,道高一尺,魔高一丈。除非很有兴趣的才能搞下去。
击遍地,大家都恐慌了,突然要找大量的安全工程师,哪里有呢
2. 真要成安全专家,那确实不容易,需要时间和积累
但是现实中,大部分情况都是小半瓶醋忽悠平底子。那些招聘安全人员的公司,很多自
己面试时都拿不出像样的人来面试专业知识。
3. 魔高一丈这个说法,估计你朋友是在安全公司,做安全服务或者产品的吧?比如应
用防火墙、入侵检测什么的。这个整个方向我觉得是有问题的,因为它既不了解应用,
对攻击也是基于模式猜测为主,方向有问题,那么战术层面再怎么努力,也很难。
我主贴里提到过,安全公司都穷,待遇不会高的。所以建议去甲方
做应用级别的安全开发,防御技术思路其实反而很简单,因为自己的应用程序自己知道
,我不用考虑别人怎么攻击,只保证凡是非法的我一概拒绝。
应用安全的挑战在于如果降低成本,因为代码量太大,人工分析或者测试太低效,工具
又不够真的智能。
【在 c*******9 的大作中提到】
: 各个公司找不到人,正说明这类技术要达到实用门槛高或者比较苦逼。
: 听一个朋友说搞这个太麻烦,道高一尺,魔高一丈。除非很有兴趣的才能搞下去。
c*e
23 楼
以安全架构师的身份招过去,还是不错的
不给足了,人家在大公司也就不动了。不像开发人员,一抓一大把
【在 c*******9 的大作中提到】
: 3轮、4轮拿不到多少股份吧。
不给足了,人家在大公司也就不动了。不像开发人员,一抓一大把
【在 c*******9 的大作中提到】
: 3轮、4轮拿不到多少股份吧。
g*g
24 楼
这种职位确实缺人,但给得也不高。FLG做个staff就可以秒了。
【在 c*******e 的大作中提到】
: 以安全架构师的身份招过去,还是不错的
: 不给足了,人家在大公司也就不动了。不像开发人员,一抓一大把
【在 c*******e 的大作中提到】
: 以安全架构师的身份招过去,还是不错的
: 不给足了,人家在大公司也就不动了。不像开发人员,一抓一大把
d*e
25 楼
这个fortify搞搞
基本上就是qa 的活吧
还惹人烦
【在 c*******e 的大作中提到】
: 以安全架构师的身份招过去,还是不错的
: 不给足了,人家在大公司也就不动了。不像开发人员,一抓一大把
基本上就是qa 的活吧
还惹人烦
【在 c*******e 的大作中提到】
: 以安全架构师的身份招过去,还是不错的
: 不给足了,人家在大公司也就不动了。不像开发人员,一抓一大把
c*e
26 楼
flg做staff的,可以忽略本帖
本帖针对普通码工,职业上上升有瓶颈,想寻找突破的
【在 g*****g 的大作中提到】
: 这种职位确实缺人,但给得也不高。FLG做个staff就可以秒了。
本帖针对普通码工,职业上上升有瓶颈,想寻找突破的
【在 g*****g 的大作中提到】
: 这种职位确实缺人,但给得也不高。FLG做个staff就可以秒了。
c*e
27 楼
那是初期吧,还不太懂的时候,只能从简单的搞起了
过个两三年,你就是半个专家了,哪里还需要搞什么fortify呢。
另外一个成熟的流程里,fortify都是开发们自己允许、解决问题。有困难才找到
security团队的
惹人烦的时候,那就要善于利用流程和管理的时候,叫老大们把基调定好,然后技术人
员再上去解决问题。
某个开发人员,你不想解决这个security bug,好啊,叫你manager来找你解决。我可
以没空给你废话。manager也爱理不理的?director/VP,你们怎么说?都不想解决?那
我回家睡觉去了。
【在 d******e 的大作中提到】
: 这个fortify搞搞
: 基本上就是qa 的活吧
: 还惹人烦
过个两三年,你就是半个专家了,哪里还需要搞什么fortify呢。
另外一个成熟的流程里,fortify都是开发们自己允许、解决问题。有困难才找到
security团队的
惹人烦的时候,那就要善于利用流程和管理的时候,叫老大们把基调定好,然后技术人
员再上去解决问题。
某个开发人员,你不想解决这个security bug,好啊,叫你manager来找你解决。我可
以没空给你废话。manager也爱理不理的?director/VP,你们怎么说?都不想解决?那
我回家睡觉去了。
【在 d******e 的大作中提到】
: 这个fortify搞搞
: 基本上就是qa 的活吧
: 还惹人烦
c*e
28 楼
想起来了,netflix从去年11月份吧,就开始招一个senior security engineer职位,
过了大半年吧,一直开着,我看上个月才close的
应该不是钱给的不够吧,netflix估计不缺钱,可能是一直找不到合适的
【在 g*****g 的大作中提到】
: 这种职位确实缺人,但给得也不高。FLG做个staff就可以秒了。
过了大半年吧,一直开着,我看上个月才close的
应该不是钱给的不够吧,netflix估计不缺钱,可能是一直找不到合适的
【在 g*****g 的大作中提到】
: 这种职位确实缺人,但给得也不高。FLG做个staff就可以秒了。
o*e
29 楼
thanks!
希望多来原帖与LX 交流,
http://www.mitbbs.com/article_t/JobHunting/32988521.html
L上面有TIMLI 的华人事业互助会。
希望大家交流事业发展的TIPS,多
认识些朋友。 注意安全,建立信任,
发展社区。
希望多来原帖与LX 交流,
http://www.mitbbs.com/article_t/JobHunting/32988521.html
L上面有TIMLI 的华人事业互助会。
希望大家交流事业发展的TIPS,多
认识些朋友。 注意安全,建立信任,
发展社区。
s*k
30 楼
是不是专研这个花的大量时间精力,用在其它上面能比安全效果更好
【在 c*******e 的大作中提到】
: 那是初期吧,还不太懂的时候,只能从简单的搞起了
: 过个两三年,你就是半个专家了,哪里还需要搞什么fortify呢。
: 另外一个成熟的流程里,fortify都是开发们自己允许、解决问题。有困难才找到
: security团队的
: 惹人烦的时候,那就要善于利用流程和管理的时候,叫老大们把基调定好,然后技术人
: 员再上去解决问题。
: 某个开发人员,你不想解决这个security bug,好啊,叫你manager来找你解决。我可
: 以没空给你废话。manager也爱理不理的?director/VP,你们怎么说?都不想解决?那
: 我回家睡觉去了。
【在 c*******e 的大作中提到】
: 那是初期吧,还不太懂的时候,只能从简单的搞起了
: 过个两三年,你就是半个专家了,哪里还需要搞什么fortify呢。
: 另外一个成熟的流程里,fortify都是开发们自己允许、解决问题。有困难才找到
: security团队的
: 惹人烦的时候,那就要善于利用流程和管理的时候,叫老大们把基调定好,然后技术人
: 员再上去解决问题。
: 某个开发人员,你不想解决这个security bug,好啊,叫你manager来找你解决。我可
: 以没空给你废话。manager也爱理不理的?director/VP,你们怎么说?都不想解决?那
: 我回家睡觉去了。
x*u
31 楼
信息安全和信息管理一样,属于非技术岗位,玩不过ppt流畅的三哥的。
【在 o**********e 的大作中提到】
: 【 以下文字转载自 Working 讨论区 】
: 发信人: onetiemyshoe (onetiemyshoe), 信区: Working
: 标 题: 建议马工们有机会多搞信息安全、安全开发方面的东西 (转载)
: 发信站: BBS 未名空间站 (Sun Jun 14 10:29:29 2015, 美东)
: 发信人: condorlee (condorlee), 信区: JobHunting
: 标 题: 建议马工们有机会多搞信息安全、安全开发方面的东西
: 发信站: BBS 未名空间站 (Sat Jun 13 17:08:45 2015, 美东)
: 不管是自己业余学,还是平时工作中有涉及到的,主动去学习、承担,或者公司内部成
: 立安全团队,愿意接受内部没有安全经验的人转岗,都要抓住机会,尤其是安全开发方
: 面。
【在 o**********e 的大作中提到】
: 【 以下文字转载自 Working 讨论区 】
: 发信人: onetiemyshoe (onetiemyshoe), 信区: Working
: 标 题: 建议马工们有机会多搞信息安全、安全开发方面的东西 (转载)
: 发信站: BBS 未名空间站 (Sun Jun 14 10:29:29 2015, 美东)
: 发信人: condorlee (condorlee), 信区: JobHunting
: 标 题: 建议马工们有机会多搞信息安全、安全开发方面的东西
: 发信站: BBS 未名空间站 (Sat Jun 13 17:08:45 2015, 美东)
: 不管是自己业余学,还是平时工作中有涉及到的,主动去学习、承担,或者公司内部成
: 立安全团队,愿意接受内部没有安全经验的人转岗,都要抓住机会,尤其是安全开发方
: 面。
c*9
32 楼
不能快速demo给外行看的技术很难挣到钱的。管钱的几乎不懂技术。
【在 c*******e 的大作中提到】
: 1. 找不到人,主要的原因是前些年大家很不够重视。所以人才没有积累。最近两年攻
: 击遍地,大家都恐慌了,突然要找大量的安全工程师,哪里有呢
: 2. 真要成安全专家,那确实不容易,需要时间和积累
: 但是现实中,大部分情况都是小半瓶醋忽悠平底子。那些招聘安全人员的公司,很多自
: 己面试时都拿不出像样的人来面试专业知识。
: 3. 魔高一丈这个说法,估计你朋友是在安全公司,做安全服务或者产品的吧?比如应
: 用防火墙、入侵检测什么的。这个整个方向我觉得是有问题的,因为它既不了解应用,
: 对攻击也是基于模式猜测为主,方向有问题,那么战术层面再怎么努力,也很难。
: 我主贴里提到过,安全公司都穷,待遇不会高的。所以建议去甲方
: 做应用级别的安全开发,防御技术思路其实反而很简单,因为自己的应用程序自己知道
【在 c*******e 的大作中提到】
: 1. 找不到人,主要的原因是前些年大家很不够重视。所以人才没有积累。最近两年攻
: 击遍地,大家都恐慌了,突然要找大量的安全工程师,哪里有呢
: 2. 真要成安全专家,那确实不容易,需要时间和积累
: 但是现实中,大部分情况都是小半瓶醋忽悠平底子。那些招聘安全人员的公司,很多自
: 己面试时都拿不出像样的人来面试专业知识。
: 3. 魔高一丈这个说法,估计你朋友是在安全公司,做安全服务或者产品的吧?比如应
: 用防火墙、入侵检测什么的。这个整个方向我觉得是有问题的,因为它既不了解应用,
: 对攻击也是基于模式猜测为主,方向有问题,那么战术层面再怎么努力,也很难。
: 我主贴里提到过,安全公司都穷,待遇不会高的。所以建议去甲方
: 做应用级别的安全开发,防御技术思路其实反而很简单,因为自己的应用程序自己知道
c*e
33 楼
信息安全是非技术职位?
不知道你说的是什么样的信息安全
安全这两个字,后面的含义太多了。运行个杀毒软件,装个防火墙,也可以自称是搞信
息安全的
【在 x****u 的大作中提到】
: 信息安全和信息管理一样,属于非技术岗位,玩不过ppt流畅的三哥的。
不知道你说的是什么样的信息安全
安全这两个字,后面的含义太多了。运行个杀毒软件,装个防火墙,也可以自称是搞信
息安全的
【在 x****u 的大作中提到】
: 信息安全和信息管理一样,属于非技术岗位,玩不过ppt流畅的三哥的。
h*k
34 楼
这些看着像QA的套路。好吧,PM有时候也这么干。
【在 c*******e 的大作中提到】
: 信息安全是非技术职位?
: 不知道你说的是什么样的信息安全
: 安全这两个字,后面的含义太多了。运行个杀毒软件,装个防火墙,也可以自称是搞信
: 息安全的
【在 c*******e 的大作中提到】
: 信息安全是非技术职位?
: 不知道你说的是什么样的信息安全
: 安全这两个字,后面的含义太多了。运行个杀毒软件,装个防火墙,也可以自称是搞信
: 息安全的
g*g
35 楼
核心是要会用工具做 pentest,需要很多经验. 不用写太多代码。
【在 h******k 的大作中提到】
: 这些看着像QA的套路。好吧,PM有时候也这么干。
【在 h******k 的大作中提到】
: 这些看着像QA的套路。好吧,PM有时候也这么干。
相关阅读
比较好的expert级别JavaScript developer 需要懂多少CSS ?感觉node在瞎搞啊, 昨天v4.1今天就v4.1.1(死翘翘)typescript看着比js舒服多了node有啥好的地方啊?神马优势啊?哪位大牛用过nativescrpt没请推荐嵌入式的显示架构今天Cassandra summit 的感想。coursera是不是开始全面收费了?问个弱智问题,js除了前端和node.js这种framework,还能用在哪里?hadoop job 速度提升今天看一段spark程序快吐了这个版上的主要矛盾一个烂设计的实例SmartThingstwitter又自己做了一個distributedLog.基于bookeeperjavafx命运如何node.js里调用了callback之后,还会回到函数里。XcodeGhost请教哪家公司工作时间比较灵活pay 得又多js达人来说说ES6里的generator怎么理解?如何找Clojure工作