当时,我隐隐地感觉到了互联网公司安全,与传统的网络安全、信息安全技术的区别。就
如同开发者会遇到的挑战一样,有很多问题,不放到一个海量用户的环境下,是难以暴露出来
的。由于量变引起质变,所以管理10台服务器,和管理1万台服务器的方法肯定会有所区别;
同样的,评估10名工程师的代码安全,和评估1000名工程师的代码安全,方法肯定也要有所
不同。
互联网公司安全还有一些鲜明的特色,比如注重用户体验、注重性能、注重产品发布时间,
因此传统的安全方案在这样的环境下可能完全行不通。这对安全工作提出了更高的要求和更大
的挑战。
这些问题,使我感觉到,互联网公司安全可能会成为一门新的学科,或者说应该把安全技
术变得更加工业化。可是我在书店中,却发现安全类目的书,要么是极为学术化的(一般人看
不懂)教科书,要么就是极为娱乐化的(比如一些“黑客工具说明书”类型的书)说明书。极
少数能够深入剖析安全技术原理的书,以我的经验看来,在工业化的环境中也会存在各种各样
的问题。
这些问题,也就促使我萌发了一种写一本自己的书,分享多年来工作心得的想法。它将是
一本阐述安全技术在企业级应用中实践的书,是一本大型互联网公司的工程师能够真正用得上
的安全参考书。因此张春雨先生一提到邀请我写书的想法时,我没有做过多的思考,就答应了
Web是互联网的核心,是未来云计算和移动互联网的最佳载体,因此Web安全也是互联
网公司安全业务中最重要的组成部分。我近年来的研究重心也在于此,因此将选题范围定在了
Web安全。但其实本书的很多思路并不局限于Web安全,而是可以放宽到整个互联网安全的
方方面面之中。
掌握了以正确的思路去看待安全问题,在解决它们时,都将无往而不利。我在2007年的
时候,意识到了掌握这种正确思维方式的重要性,因此我告知好友:安全工程师的核心竞争力
不在于他能拥有多少个0day,掌握多少种安全技术,而是在于他对安全理解的深度,以及由
此引申的看待安全问题的角度和高度。我是如此想的,也是如此做的。
因此在本书中,我认为最可贵的不是那一个个工业化的解决方案,而是在解决这些问题时,
背后的思考过程。我们不是要做一个能够解决问题的方案,而是要做一个能够“漂亮地”解决
问题的方案。这是每一名优秀的安全工程师所应有的追求。
----------------------《白帽子讲Web安全》