最近对自己的工作进行了一点点思考：”工作上，我的价值在哪里？”

       说到价值，常常提到另外一个词--需求。做的事情、提供的服务、卖的产品都只有满足了某种需要，才算是有价值。

       作为一个安全工程师，公司用我是为了满足什么需求呢？我可以做什么事情，提供什么服务，或者有什么工具（个人层面说不上产品，只能说工具）能来尽量满足公司的这个需求呢？

       以我的理解，公司做安全的核心需求应当是为了保护 员工和客户的信息资料、公司的核心数据，避免泄露。

       其他比如过等保、维护品牌形象、应对HW等等当然也是需求，但他们不应该是核心。如果一个企业做安全只是为了过等保，只是为了应对监管，只是做面子工程，而你想要施展自己的技术能力，这样的岗位建议你不要去（别问我怎么知道的，问就是亲身经历过）。

       我的专业能力是在应用安全方向，我应该怎么做才能让我的能力最大化的为这个核心目标服务呢？

       1、发挥自己的长处，找到自己能力和公司需求的结合点。

       在这一点上，同组2个优秀的同事给我了很多启发。

同事A很善于沟通协调，经常担任公司各种活动、年会、朋友婚礼的主持人。在工作中，他也把自己的这个能力发挥得很好。作为半个产品经理的角色，完善了SDL中核心系统之一漏洞管理系统的更新迭代；并且帮助健全了SDL流程，打通敏捷发布流程；嵌入安全意识和安全知识培训环节等等。这些工作都涉及到与各个部门、各个团队的沟通协调，而他就能很好的完成，给公司带来价值。

同事B擅长漏洞挖掘，拥有各种奇思妙想，有超强实战经验，很能肝(熬夜)可以说是肝王之王，长期霸占各大SRC前列。行动力很强的一个人，会街舞、泰拳、hip-hop，现在又开始搞珠宝了。在工作上他就主动承担了线上业务巡检的工作，发现了很多我们常规安全发现不了的漏洞，一些严重漏洞。也是将自己的长处发挥得很完美。 

而我自己呢？（嗯，把自己和优秀的人放一起，感觉自己更优秀了呢，膨胀！）好吧，他们会的我都不会。最有成就感的事就是写工具，我的工作状态就基本就是“漏洞挖着挖着就写工具去了，测试做着做着就改工具去了”，因为工作过程中总能发现需要改进的地方，bug它围绕着我啊~~。我写的工具主要包含2类：一是为了提高安全测试的效率、减少人工重复，二是提升自动发现漏洞的能力。还好我努力的方向没有错，工具在HW巡检和日常扫描中体现出了它的价值。后续只要去研究更多的漏洞，写更多的PoC加到工具中就可以了，这就符合了我工具党懒惰的气质了。

      2、分享是个人价值的放大器：多分享、多提意见

      分享是个人价值的放大器，我一直这么认为。“交换一个苹果，各得一个苹果；交换一种思想，各得两种思想”，工作中也是如此，当你把个人能做到的事，变成团队里其他成员也能做到的事，那么你的价值就翻了N倍。另外，分享的过程也是你学习的过程，会让自己掌握的知识更牢固，传授是最好的学习方法。有这么多好处何乐而不为呢？

      可能是bug见多了吧，我总是喜欢各种提意见，不停的提意见，给产品提过，给部门提过。虽然很多意见点很小，也有很多意见没有得到认可接受，但仍然乐此不疲。关于这点，我讲不出什么道理来，但我隐约觉得是一件值得做的事情，至少不会有什么损失。

     3、换位思考，服务意思

     最近才意识到这个方面，也是我的缺陷所在，工作免不了要和人打交道。有时候我们更像是个客服，需要回答开发关于漏洞的各种问题，还要回答关于发布流程、系统使用的各种问题，为此我还专门整理了个FAQ和“客服话术”。最难的是相同的问题，可能被问很多次，我这暴脾气就常常对人很不友好。既然意识到这个问题，是时候改变一下了，只有友善的沟通、更多的相互理解，才能更好地传达安全部门的理念，与业务方一起共同保障数据的安全。这是我的短板，是需要补齐的地方，明显的短板会使所具有的的价值大打折扣。

     4、用学习和反思应对变化

     事物是变化的，不同的安全建设阶段，不同的监管力度，不同的外部环境，不同的领导风格等等，很多因素都会导致具体工作目标的变化。需求变了，我们也应该跟着变，不停地学习新的技术和理念来更新自己，这样才能符合新的需求，创造新的价值。