自2022年5月起，“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘，我们在坚持大原则、大框架、主体规则基础上，优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”，自拟每月主题，在诸子云知识星球做主题相关每日打卡，完成每月一篇原创。除了共同赢取10万元高额奖金，我们更要聚焦甲方关注，发掘最佳实践，弘扬分享精神，实现名利双收。本期发文，即诸子笔会月度主题来稿之一。

安全复盘-真正的查漏补缺

     文 | 肖文棣

肖文棣

晨星资讯安全架构师

晨星资讯安全架构师，负责应用安全设计、管理和评审等工作，OWASP中国广东分会负责人，华中科技大学软件工程专业工程硕士学位。

开源组件漏洞紧急修，修修修，何日是个头？问君如何做，才能枕无休？

安全策略不定即刻补，补补补，啥时无缺漏？看汝怎动手，方可稍罢休？

新三年，旧三年，缝缝补补又三年，老漏洞，新漏洞，补救不及真头痛。

一篇类似的小词，道尽了安全的艰辛。如果我们一味只是被动地去补锅，将是无穷无尽的烦恼。那么怎么才能一劳永逸且有的放矢地从根本上解决问题？这个时候，我们需要不是被动补锅，而是主动查漏补缺，追本溯源。而这个追本溯源就是复盘，对于安全来说就是对安全事件进行复盘。

复盘，围棋术语，也称 “复局”，指对局完毕后，复演该盘棋的记录，以检查对局中招法的优劣与得失关键。如按照棋谱排演，类如复盘，称 “ 打谱 ” 或 “ 研阅棋谱”。下围棋的高手都有复盘的习惯，因为这样可以有效地加深对这盘对弈的印象，也可以找出双方攻守的漏洞，是提高自己水平的好方法。

唐朝诗人杜牧的《重送绝句》就描述了这个过程：

绝艺如君天下少，

闲人似我世间无。

别后竹窗风雪夜，

一灯明暗覆吴图。

放到实际场景下，复盘指的是从过去的经验、工作中进行学习，帮助当事人有效地总结经验、提升能力、实现绩效的改善。

针对安全事件，就是要通过对安全事件进行不断复盘，找到根本原因，然后进行改进，从而避免同样的问题反复发生，将问题扼杀在萌芽内或者在问题发生的时候可以有效地应对，不会手忙脚乱。

复盘不等于总结，但是很多人混为一谈。总结的关键是对已有问题的梳理，而复盘的关键是对未来的推演，如果只是总结不复盘，那么就会陷入上文说的漏洞无止境的麻烦中。

我们可以从形式、执行过程、执行目的以及导向来理清复盘与总结的差异。

比如我们一般在敏捷过程中的项目回顾阶段，就是一种总结，一种回顾，而不是复盘。而我们面对重大问题进行根因分析，包括使用鱼骨图、5问法等方法寻根究底的时候，就是一种复盘。这当中的区别大家一定要分清楚。

很多人总是说自己做了复盘，但是好像效果却不怎么样，这时我们就需要注意是否陷入了复盘的误区。

复盘常见的误区有这些：

复盘的本质就是每个人从自己亲身经历的事件中进行总结、学习。所以，我们不能对他人的事件进行复盘。对他人之事进行分析是“案例研究”，案例研究与复盘的信息来源截然不同，学习发生的原理也有明显差异，二者属于不同的学习类型。

对于复盘，聚焦自己是王道。

很多公司都有类似“项目后评估”的机制，也就是总结，但这不是复盘。

真正的复盘一定要对成功的关键要素或者失败的根本原因进行分析，从中学到经验和教训，而不只是简单地回顾或回想，更要与绩效评定和奖惩适当区隔开。

复盘要包括一个完整的学习逻辑，从严格意义上来说，简单地事后回顾不是复盘，而是总结。

有些人认为，复盘只是对过去经验进行总结，这样对于变化快的事物，比如安全事件、安全漏洞会不会没有意义？在笔者看来，这种想法是不科学的。

复盘不是简单地回顾、重复过去事情的经过，而是需要进行深入的分析，找到事物的内在规律，并以开放的心态进行全面的反思，包括对于应对策略也需要随着环境变化进行调整。虽然安全事件变化快，但肯定也存在一定规律和关键成功要素，尤其是应该快速试错、迭代优化。

复盘不仅有重要意义，也是成功之关键。

复盘不是让你去“低头拉车”，而是让你“抬头看路”、洞悉本质、把握关键、快速创新应变。

《荀子·儒效篇》中说：“不闻不若闻之，闻之不若见之，见之不若知之，知之不若行之。学至于行而止矣。行之，明也；明之，为圣人。”

闻、见、知、行是学习的四个步骤，外人由此总结提炼出U型学习法。

复盘的步骤也是参考这个U型学习法，可以分成四个步骤：

▶闻：回顾与评估

这个步骤与总结就很类似，但是复盘的回顾要一切围绕目标展开，我们只有了明白原来的目的与意义，才能在后续复盘过程中紧扣主题，有的放矢。这就说明复盘不是事件型的，不是针对一个个安全事件进行复盘，而应该对安全的总体目标进行复盘。

评估结果要中立，要同时看到正面的事实和负面的事实，互相之间不要混杂。这个阶段就是列举出事情，而且是专注于目标的事实，不要偏离，也不要涉及原因分析。

▶见：分析与反思

这个步骤是寻找根本原因，每个事实无论好坏都有主客观原因，要尽量找出根本原因，这个时候“5问法”就很有必要。主客观原因要尽量穷尽，这个时候鱼骨图也有用武之地。

大卫·库伯在 “经验学习循环”中将其称为“反思性观察”，指的是对具体经历进行回顾、反思。

▶知：萃取与提炼

在根因找到后，我们需要退一步看看，思考从中吸取到什么经验教训，总结出事件的一般发生规律，哪些做法能够有效，哪些做法是无效的。这就是萃取、结晶和提炼的过程。

库伯称为“抽象概念化”，也就是总结出新想法或者修正原有想法。但是值得注意的是，过犹不及，要防止过度抽象，过度拔高。

▶行：转化与应用

学习最好的目的是更好更快地行动，所以要将提炼的经验教训转化为后续行动。这个就是戴明环PDCA的A的阶段，而萃取和提炼是C的阶段，通过不断的循环反复才能不断提高。

▶免疫

复盘是对组织的不断打磨，大浪淘沙，百炼成钢。

一个组织的能力，从来都体现在自身的不断迭代与不断成长中。通过不断复盘，提升了安全团队的能力，自然可以防患于未然，并且应对安全事件可以得心应手。

宝剑锋从磨砺出，梅花香自苦寒来。

任正非认为：将军不是教出来的，而是打出来的。

古今那么多人推崇复盘，不是没有道理，但是能不能用好这种方法，还要看我们自己。

复盘，不仅是组织的高效学习方法，也是组织的高效免疫系统。通过不断复盘，不断迭代来完善自己团队的能力，调整自己的目标以及策略，必然可以更好地应对现在多变的安全威胁，处变不惊，临危不乱，而不是陷入日复一日的缝缝补补中。

2022诸子笔会  

【9月主题：查漏补缺】

刘志诚   张永宏  杨文斌

【8月主题：红与蓝】

刘志诚  张永宏  王忠惠  孙琦

  肖文棣  孙瑜  杨文斌 陈圣 回顾

【7月主题：误区与陷阱】

刘志诚  张永宏  孙瑜  王忠惠  肖文棣  

朱文义  杨文斌  孙琦  陈圣  回顾

【6月主题：远程办公与安全】

王忠惠  于闽东  刘志诚  孙琦  朱文义

  张增斌  肖文棣  杨文斌  张永宏  孙瑜  陈圣 回顾

【5月主题：安全之变】

 王忠惠   张永宏  朱文义  于闽东  刘志诚  杨文斌 

 孙琦  孙瑜  半藏咸鱼  肖文棣  王振东  陈圣  回顾

2021首届诸子笔会

   颁奖 | 评优投票 | 1月盘点 | 12月盘点

11月盘点 | 10月盘点 | 9月盘点 | 8月盘点

7月盘点 | 6月盘点 | 组团 | 报名

齐心抗疫 与你同在