作者：赵彦

来美团点评快一周年了，打鸡血般的跑完了某厂三年云安全的进度，自嘲的说可能是某厂的“厚积”都跑到美团来“薄发”了，客观而言自觉比较重要的一点就是知人善用。最近又被技术人员问及职业发展的问题，恰好今年面了300多人，就其中发现的问题做一些分享和讨论。职业规划这个东西是没有什么公式可以量化的，也不可能被标准化，这里只是站在某个时间点（2017年底），对当下的形势和风评做一些小结。

形势1：大公司分工越来越细，除了安全负责人以外不需要面面俱到，而是需要在某个领域深挖的人，市场上的高P职位除了安全负责人自己是外行需要一个内行做贴身顾问外，绝大多数职位都是细分领域专家，要求你什么都懂的基本都是安全负责人职位，当然你也可以从这里倒推招聘者是安全专家，还是资源分配者，还是一个彻彻底底的外行。这里说的细分领域专家譬如：二进制很强，或者web很强，或者纯粹的搞站渗透很强，或者不懂安全但是机器学习算法很强。首先，只有大公司才招高P，所有高P一定程度上都反映了大厂的需求，大公司的安全建设除了安全研究类以外都不是单点式，都是体系化和工程化的，大厂需要的经验譬如都是xx万IDC规模下的入侵检测，x万研发人员提交代码仓库的SDL，大部分时候会要求应聘者已经具备相关领域的成熟经验，譬如你应该知道自动化的方案是什么，如果你只是知道用OSSEC的默认配置，对不起，这只是个数千规模量级的解决方案，无论是架构，还是检测深度乃至场景覆盖率都无法解决更大规模下的问题。你说代码检测用xx工具跑一遍，于是还要从头开始跟你普及误报率的重要性和覆盖率的概念，太累，大多数公司甚至整个社会都是急功近利的，KPI又很高压，加上某些公司本来已经做的很成熟了，需要的是更加优化的结果，基于这些原因就更加没有人愿意培养你慢慢上手了，大多数公司都要成手，对高P而言是必要非充分条件。如果你发觉自己什么都会一点，而什么都玩得不深，你可能会焦虑了。

形势2：什么都懂一点的人会是中小企业的需求。近年来在工业界这个范畴里，对安全从业者的需求还是相当大的，甚至现在都可能供不应求。小公司跟大公司不同，安全团队即使有也不会很大，往往需要身兼数职，面对一揽子问题给出最高性价比方案。这类性价比高的方案往往是逮着某个开源软件就上，而不会过分计较他的功效，或者虽然也有安全团队也必须大量的依赖商业产品和解决方案，自己只负责简单的安全产品运维，同时中小企业招聘到高级安全技术人才的可能性不是很高，也间接决定了不可能在结果上深挖。于是一个既懂安全又会开发点小工具，又爱折腾的“全栈工程师”在这种场景下就吃香了。而同样的场景在大公司的安全团队，攻防只做攻防就好，不需要开发，开发会有专门的RD，RD都是需要保证性能和高可用性的，这些显然都不是安全工程师的强项。所以在第一种情况下的焦虑症能在第二种场景里得到缓解，但不好的地方是说一旦你受中小企业欢迎，那么你的技能会越来越聚焦泛而不深的安全需求，你在可预见的职业生涯里都可能跟大公司无缘了，因为你一直在培养小公司急需而大公司不需要的技能，同时小公司即使做到安全负责人也会有职业瓶颈，因为小公司的安全负责人可能收入只有大公司高P的几分之一。人有时候会放过自己一马，去个小公司舒舒服服的当个安全负责人，至少不用在日新月异的技术上孜孜以求，苦苦学习，也不用被成为高P的愿景所绑架，毕竟只有拔尖者最终才会成为高P。

可能有些人会觉得我有捧大厂贬低小厂之意，其实跳出安全行业，放之四海皆准，大厂的专家年入过亿都是有可能的，因为解决的问题复杂度和规模效应的价值可能胜过小公司的老板。大厂的模式也不是十全十美的，这种模式下往往会培养出拧螺丝钉的人，譬如某厂的安全人员的特点是除了自己负责的领域外基本什么都不懂，想培养成为Leader都很吃力。以前还有过一出喜剧：某大厂领导看到某厂人员在安全大会演讲，以为是个高P，欲挖角，结果简历拿回来一看居然只是个低级别的工程师，遂罢。其实这跟某厂的培养模式是相关的，只培养极细分领域，由于某些领域不太被关注，所以深挖很容易博得眼球，但是毕竟价值有限，所以也不会给高职级和高待遇。

从比较积极的角度看，过早的放弃高P路线转向中小企业安全负责人，犹如放弃攀爬一座1000米高的山，转而爬一座600米的山，会舒服一阵，但会更早的迎来半衰期的中点，更早的迎来下坡路。当然很多人希望加上一个前提是同等获利情况下，确实这样更严谨一些。

从招聘者的角度看，大厂过于执着专家型人才也比较偏颇，后来我想了想还是决定调整成看一个人的知识总量和单位时间的学习能力，如果学习效率足够，那么进来培养一下聚焦某几个方向也是可以的。当然什么样的学习能力才算够，这个肯定也是主观的，并且解释权在招聘方，所以应聘者也不用过于纠结公不公平。应聘者需要做的只是厚积薄发，迎合市场需求。

最后一点：关于创业，要看是去创业公司做股东，还是去创业公司打工，如果是后者，说不定迟早要回大公司，还是得考虑职业连续性问题。当然也看创业公司本身的工作内容和团队的口碑，在一个有竞争力的团队里，容易得到整体溢价的加成。反之则不然，会损失很多机会成本。

高P是什么

阿里内部分为两个职业序列，分别为“P（Profession）”和“M（Management）”，其中，“P”代表专业序列，诸如程序员、产品经理等大多员工都在该序列；“M”则为管理序列，需要具备管理团队的经验和能力。

“P”序列最早由阿里 B2B 业务提出，至今已实行超过 10 年，从 P5（校招毕业生）至 P12（事业部总裁），阿里员工入职时会匹配职级，并对应至相应的薪酬、股票与晋升机制，其中 P10 以上即为副总裁级别，被阿里员工称为“高 P”。

去创业公司打工的案例

最近一个朋友跟我说，杨哲的公司（总部在上海，公司4个人，包括老板，成立3年了，没人留下），半年没发工资了。

不认识杨哲的可以看看这个【小米安全与隐私宣传月】大师课《商业秘密&个人隐私保护》—杨哲

RC2反窃密实验室创始人、国内TSCM行业先锋人物杨哲

我本来想，不至于如此。

跟朋友讨论以后，说是反窃密这个市场太小，民用不太可能，商用用得到的都是大公司。

所以也很正常。

还记得大学的时候看过杨哲的无线攻防三本书，觉得还是很牛的，但是想不到竟然如此。

还是尽量不要去创业公司吧，风险太大。公司倒闭了又要从头开始找工作。