自2021年6月起，安在征文全新“改版”——“诸子笔会，打卡征文”。简单来说，我们在诸子云社群招募“志愿者”，组成“笔友群”，自拟每月主题，互相督促彼此激励，完成每月一篇原创，在诸子云知识星球做主题相关每日打卡，同时邀请专业作者群内分享，互通交流。我们的目标，不仅是在持续8个月时间里，赢取累计8.8万的高额奖金，更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文，即诸子笔会月度主题来稿之一。

基于DevOps的软件供应链安全

文 | 赵锐

赵锐

某跨国企业

网络空间安全和合规负责人

各家机构的财经年度可能有差异，但大部分都是按公历年的，相信大部分读者最近在进行工作总结和年终考核。不知道大家是否思考过，这些工作总结的内容和年终考核的结果，与自己最初的愿望一致吗？和你曾经的梦想相似吗？

小时候，对于长大了做什么？有多种答案：科学家？企业家？老师？这些是你今天所做的工作吗？对于我们大多数人来说，答案很可能是“不”。那是一件坏事吗？当然不是。大家在网络安全工作中，在年终总结时，都有获得感、幸福感或安全感吗？

您如何确定自己正在实现目标的道路上？

从工作总结开始：

里面可以放的内容有很多，可以按定量、定性的指标来进行工作总结，也可以按团队划分或岗位划分进行工作总结，例如：安全管理与合规、安全技术、安全运营、SRC等。

职业发展：

我【现在】的工作和生活怎么样？能通过工作让自己开心吗？我对未来充满希望吗？

如果想让【五年后】的我，工作和生活开心、对未来充满希望。现在和后续四年，我要怎么做？努力学习、研究安全领域的专业技能，并扩大网络安全知识的广度和深度。对于实现【五年后】的目标，这可能是最直接、最有效、最有帮助的方式。

如果想让【十年后】的我工作和生活开心、对未来充满希望。现在的专业技能、网络安全知识，可能并不是最重要的了，因为这个世界唯一不变的就是变化。现在的专业技能和知识，到时可能已经不适用了，但是网络安全行业、网络安全产业是否还继续存在？从目前看，随着《网络安全法》、《数据安全法》、《个人信息保护法》等一系列法律、法规和国家标准的实施，网络安全行业正处于上升期，网络安全是一个可以长期从事的工作方向。

在进行工作总结时，不光要看过去的成绩，更要站在这三个角度来比较自己的职业发展计划或目标，如何工作才对自己的未来更有利。

大部分人的父母都会建议找稳定的工作，从下图中大家可以看到，近12年参加国家公务员考试的人数居高不下。

对于网络安全人员来说，最稳定的职业发展是处于一个已知的职场流程里，大多数人从工作直到退休都在这样的职场流程里。

对于大型或中型组织来，一般会有一整套明确的职务级别体系和对应的晋升体系。以做技术的网络安全人为例，大部分人毕业第一份工作肯定是初级岗位，然后从初级的安全工程师，逐步升级，最后是高级工程师或资深工程师。你在该组织中认真努力工作，最后很可能变成一个默默无闻的螺丝钉，不太可能出人头地。

而对于中小型组织，网络安全人员通常需要经过跳槽来实现职业发展，每一次跳槽一般都会带提高职级和增加收入。

所以，大部分人会有两种选择：一种是到知名的组织工作；另一种，就是设法在自己简历中提供自己独特能力，可以是在比较知名的组织工作过，也可以是出版书籍、比赛的成绩、考出来的证书或是申请的专利，这样可以很顺利地通过跳槽来实现职业发展。

在大型或中型组织里，大家要关注并尽力避免什么呢？

假设，有一家小公司，盈利情况较好，你是早期成员，和公司一起共同发展。老板很信任你，加上小公司也不差钱，你的薪水不错，但你一直担心公司的业务情况。

怕什么来什么。你工作到三十五岁，公司突然因为某个特殊原因倒闭。（例如：2020年1月到目前持续的新冠疫情。）对于技术人员来说，35岁是一个坎，这时你到哪里还可以找到一个比原来更好或是差不多的工作？答案很可能是：整个人的职业发展彻底中断，能找的工作可能是送外卖了。如果有养娃、房贷的压力，你就有可能向金钱屈服。

现在很多企业都受到疫情的影响，降薪、放长假、甚至裁员也比比皆是。工作是你唯一的收入来源，工作能不能继续、年终考核后拿不拿得到奖金，这都要基于组织的盈利情况。

对职业发展来说，真正可依赖的，是自身所拥有的知识，这是别人无法抢走的。

调整前面的假设，单独把“小公司”改成“知名行业领军企业”，其他都不变。

有什么差异？在一家知名公司工作十几年，对于许多企业以及HR来说，这都是加分项。

现实中，这样的例子不胜枚举，但实际效果怎么样？靠一两个人能快速帮助组织提升吗？许多人的工作成绩，主要基于公司本身，脱离了原始环境，有可能就无法实现之前的期望。

虽然现实是这样，但很多组织还是喜欢招顶级组织的人。究其原因，HR通常会回复，已经没有更理想的选择了，大厂招来的总比小公司招来的好吧。所以人一直是成功的必要因素。而且在大厂工作的人往往会有期权或股票，到三十五岁的时候，可能已经财富自由，可以提前退休了。

并不是人人都能进大厂，如果不能进大厂。网络安全人的职业发展应该怎么办？

以下只是我个人的想法，仅供参考：

在互联网模式下，在同一家组织里一直工作到退休的人越来越少，大部分人都有过找工作的体验。如何在换工作的过程中实现自我的理想，如何有获得感、幸福感或安全感？这是大家在工作总结过程中也要思考的内容。

在新技术、新模式不断改变生活方式的情况下，我们需要不断调整自己、训练自己，让自己有更强的适应能力。只要做好准备，当机会来临时，抓住机会，努力拼搏，别让自己在老年的时候后悔。这可能就是你出人头地跨越阶层的机会。

以上只是目前短期的思考与分享，可能有所不足。欢迎大家补充并讨论沟通。如果要在其他文章、会议材料中引用上述内容，请注明“来源：锐少”

诸子笔会 |12月征文合集《总结报告》

刘志诚：从业务视角看安全团队工作年度总结

蔚晨：2021年网络与信息安全年度评述

王振东：年度总结：回眸从系统开发到隐私保护跨行之旅

孙琦：一份企业安全负责人的2021赛季年终回顾

杨文斌：从了解到总结的安全修炼

诸子笔会 |11月征文合集《供应链安全》

诸子笔会 |10月征文合集《安全周》

张永宏 王振东 赵锐 蔚晨

刘志诚 刘顺 肖文棣 季奖公布

诸子笔会 |9月征文合集《安全团队》

刘志诚  张永宏  刘顺  杨文斌  蔚晨

王振东  孙琦  肖文棣  赵锐 月奖公布

诸子笔会 |8月征文合集《数据安全》

诸子笔会 | 7月征文合集《安全自动化》

诸子笔会 | 6月征文合集《安全数字化》

齐心抗疫 与你同在