论网络安全人才的凋零

人生不同的阶段会认可不同的观点，从最初的中二扮酷，进而变得越来越务实，再到最后的近乎道学，这也印证了人类个体发展的规矩，最终都会殊途同归尘归于尽。

这个阶段最喜欢的一句话是“劳于求贤逸于得士”，历史上版本有很多，“劳于求贤逸于行使”，“劳于求贤逸于治事”，“劳于求贤逸于得人”等等，大义都是要拼命的寻求人才，然后大家一起完成大事业。

衡量我们成功的方式表面的体现会有很多，比如我们做出了很多技术输出，比如我们商务上得到了很大的收入，再比如我们的品牌得到的大家的认可，但这些都是外在，真正的内涵都只会有一件事：人才梯队的搭建。没有人才，这些都不能完成，有了人才，这群人干什么都能完成。哪怕是去做一家养猪的企业甚至是做一家上火星的企业，一个有着好目标和正确的执行方法，以及团结协作的精神，将会无往而不利。

人才是需要土壤的，需要一个适合生长的环境。再恶劣的环境都会有美丽的花朵，在雪山之巅，在悬崖裂缝中，在沙漠的一个角落，那是一种孤寂的美，见到的人很少，少到大家都怀疑是否真实存在。如果你想要看到百花齐放斗艳争春的场景，你就需要移步到一个有肥沃的土地有阳光雨露的地方。

人才的成长有外因也有内因，外因决定了人才的广泛程度（个数比例），内因决定了你作为独立的个体是否不甘于平庸，是否有一身傲骨。就跟那些花花草草一样，无论怎样的环境你总能看到它们，只是多还是少的问题。外部环境好，你就能感觉到大自然的生机勃勃与祥和；外部环境不好，你自然也就能领略到孤寂的美。外因会很大程度上影响到内因，但凡不是生存不下去，大家都不会发现自己很容易随大流。

我们公司方向决定了我可能比大家更能感受到行业的冷暖，无论是从安全产业的增长还是从白帽子生态的生存环境。我第一次创业以失败告终，不是我们的技术不领先，而是商业环境不具备，说深了甚至是法律环境不具备，我只能把公司卖掉，当时研发安全工具是随时可能定义为“黑客工具”的。我记得十几年前有一波人才流失的高潮，国内很多网络安全技术人才去了美国，因为当时也没有太好的漏洞变现的能力，这边不能变现甚至有法律问题，那边给你体面的生存环境以及足够的尊重，不难想像结果会是如何。最近，我们似乎又隐约看到了这种趋势，只不过可能不是去了美国。我觉得上一次像是为了有尊严的活着，而这一次更感觉仅仅像是“活着”。这只是一种直觉，我没有更多的证据来证明这一点，这才是最吓人的，因为大家都不知道何去何从，大家不去讨论它，也没有沟通渠道，上面有一个看不见的手，捏住了大家的脖子。

现在这个阶段跟上一个阶段区别还是挺大的，当时只有刑法修正案，而现在有了漏洞管理办法，有了隐私保护法，有了关基保护条例，有了网络安全法，有了等保2.0等等……这些大背景预示了行业爆发的拐点，也预示了一个非常核心的问题：漏洞研究人员或者渗透的白帽子是否是一个体面的受人尊敬的职业。

漏洞第一时间应该给谁（有没有标准流程）？漏洞是否应该算知识产权得到相应的回报（谁来认定定价合理）？漏洞作者是人人喊打的角色还是受行业认可的身份？安全工具的研发边界在哪里？数据的边界在哪里？我们乍一看好像都有答案，仔细琢磨好像答案又不那么明显。我们昨天都认为是这样，今天一看好像那么解释也挺合理的。

于是有漏洞研究人员把漏洞捂死在手上，有人决意退隐江湖，有人偷偷变换马甲继续赚“不踏实”的钱，有人离开了这片土地，这种影响力看起来还会持续一段时间。大家还在观望，在观望中随波逐流。

最近见了不少网络安全从业人员，内因驱动的坚定的卓越输出者还是少数，大多数还是看中短期的利益得失。每见一个人，我都会跟大家说“不要去欺负小学生”，拿个比喻说，我们国家网络安全行业的输出（技术或者产品）大多数只有70分，美国有120分，我们很满足于做了一点努力就有了80分，于是快速的有了一种自以为是的阶层感，开始享受身边的赞誉停滞不前。所以我说我们不要满足于从小学生手里去抢棒棒糖，而应该去跟最顶级的去PK，永远不要把眼睛盯着比我们弱的对手，永远要有勇气有决心去输出比一流对手更好的技术。这个跟你之前拿到了多高的工资没有一点关系，钱是培养不出傲骨的。我说任何时候我们既不缺智商也不缺傲骨，但是缺的到底是什么呢？

环境有好有坏，不能遇到一些问题我们就选择躲避，毕竟我们还是热爱这片土壤，我们要发现并尝试推动问题的解决。从创业伊始，尽管跟我个性不符合，但我还是积极地加入各个监管单位的专家库（我的一些虚职title在我二十年前曾经是多么的嗤之以鼻），同时我们也尽可能的拿一些相关机构央企国企的投资，我们也积极地推动公司上市（如果有可能），于我看来，更多的是去获取一些沟通渠道，让我们能够更加健康地发展起来。慢一点没事，不要死掉了。

如果我是一个个人，我只能改变自己的内因；如果我是一个企业家，我能尝试改变公司内部的外因；如果我是院士，我能尝试改变一个行业的外因；如果我是相关部门的负责人，我就能尝试改变一个国家的外因。恶是消灭不干净的，引导向善是大的主流方向，引导得当水到渠成。

最近听朋友讲了一个观点我很认可，他说“如果给你十年去发展，你会去上山种树，如果给你一年，你可能就会上山砍树”。好像都没有错，区别只在于时间范围，如果从长远来看，让绿树成荫毫无疑问是收益更持续的模式，从短时间看，远水不救近火，杀鸡取卵看似无可避免。

我带小朋友经常打篮球的公园，有一片草地，绿油油的充满生机，后来有人把护栏掰断，抄近路踩了过去，过了一段时间，那里的草地就形成了一条小道，再过一段时间，小道的泥土变成了沙地，尘土飞扬，像极了一个人秃了顶，而且是一长条的秃顶。但这些草地野火烧不绝，冰霜也冻不死，种子还在，明天一场大雨，它又会郁郁葱葱。

不要让外因改变了内因，坚持做最卓越的输出，坚信外因会越来越好，这又是大家最近潜心做积累的最好时机。