Catalogue
Hi, 这里是断更一年半之后的最新blog。
简短概括下这一年半的时间发生了什么:去年7月底跳槽,然后这一年多先后做了隐私评估的建设(DPIA&RoPA)、一些应急、一些数据安全的评估、一些SDL的基线建设和使用。
跟以前做的很不一样,但还是要说,没有一点东西是白学的,总有地方能用得上。
总之现在做的非常混合,常规漏洞的复现+与研发沟通解决方案、功能设计的数据链路安全评估和方案、功能隐私设计方案(跟上一个的区别是这个侧重给用户展示的内容)、以及对最新法律法规的高强度关注和分析。
看起来就很碉堡(不是
对我来说做这些还挺开心的,因为它真的有用,或者说,在程度上只比监管惩罚多走了一步。
这个怎么解释呢,就是说,我们关注的是真实案例,我们给的方案和决策,没有什么无聊的shit上雕花。
什么算shit上雕花,类比一下就是渗透测试拿个系统摸了一圈啥都测不出来,最后没办法了,报告里交了个中危- JS版本过低。(这下搞渗透的应该能懂了吧!
没关系的,大家都一样,这种事我以前多少也干过。
最近(其实挺久了)在尝试着系统性的整理一些东西,把门外人看起来玄之又玄不说人话的玩意试图讲的更简单一些,比如GDPR。至少达到一种,如果有人拿GDPR扯淡跟你搞威胁论强加要求,你就可以说,这玩意我懂,不过如此,做好123足矣,少来加码。
就像技术那样,至少开源出来,要不要学看个人,总比封闭式闷在自己的圈子里转来转去好很多。
饼已经画好了,把饼做出来还是得再花点时间。现在就靠天天给朋友们画饼打鸡血了。