最近这些天，被 Log4j 相关的文章、讨论刷了屏。目前我在网上看到的文章，自媒体大多饱含情绪批评阿里，安全圈则多数对技术研究环境有忧虑。

列举一些信息：

1、法律——网络产品安全漏洞管理规定。

链接：http://www.cac.gov.cn/2021-07/13/c_1627761607640342.htm

对“网络产品提供者”（所有提供网络产品的企业，理论上都受约束）的规定：

第七条 网络产品提供者应当履行下列网络产品安全漏洞管理义务，确保其产品安全漏洞得到及时修补和合理发布，并指导支持产品用户采取防范措施：

（一）发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。

（二）应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

（三）应当及时组织对网络产品安全漏洞进行修补，对于需要产品用户（含下游厂商）采取软件、固件升级等措施的，应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户，并提供必要的技术支持。

对从事网络产品安全漏洞发现、收集的组织或者个人的规定：

（一）不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息；认为有必要提前发布的，应当与相关网络产品提供者共同评估协商，并向工业和信息化部、公安部报告，由工业和信息化部、公安部组织评估后进行发布。

（二）不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。

（三）不得刻意夸大网络产品安全漏洞的危害和风险，不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。

（四）不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。

（五）在发布网络产品安全漏洞时，应当同步发布修补或者防范措施。

（六）在国家举办重大活动期间，未经公安部同意，不得擅自发布网络产品安全漏洞信息。

（七）不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。

（八）法律法规的其他相关规定。

在这个事件中，阿里云同时兼具两个身份（理论上，所有用到 Log4j，受漏洞影响的产品和企业，都是网络产品提供者）。

2、工信部网络安全管理局通报

阿里云发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后，根据阿里云整改情况，研究恢复其上述合作单位。

3、阿里云回应：

阿里云一名研发工程师发现 Log4j2 组件的一个安全 bug，遂按业界惯例以邮件方式向软件开发方 Apache 开源社区报告这一问题请求帮助。Apache 开源社区确认这是一个安全漏洞，并向全球发布修复补丁。随后，该漏洞被外界证实为一个全球性的重大漏洞。

阿里云因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。阿里云将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险防范工作。

4、负责任的披露（英语：Responsible disclosure）是计算机安全或其他领域中的一种漏洞披露模型，它限制了漏洞披露的行为，以提供一段时间来修补或修缮即将披露的漏洞或问题。

这也是阿里云提到的“业界惯例”。

5、这两年，我在社交媒体上陆续看到有些安全从业者到日本、新加坡等地工作。

至于观点，贴一下我信服的 TK（微博：@tombkeeper）在 2019 年 6 月就发过的内容：

限制漏洞披露，结果必然会影响漏洞研究本身。

漏洞研究和其它科技研究工作一样，都是特别苦的事情。人为什么愿意干特别苦的事情？那些博士们为什么愿意在实验室长年累月熬着？当然是为了发布研究成果，获得由此带来的收益（名、利、自我实现感，等等）。限制漏洞披露，就是削减漏洞研究的收益。

如果这种限制是全世界统一行动，那么大家刀枪入库，马放南山，卸甲归田，也挺好的。而如果只是一个国家这么干，那就相当于自己单方面主动裁军。

对安全问题的一个常见误解是认为漏洞是某种像导弹一样的东西，可以用油纸包起来放到山洞里。但导弹不会消失，而漏洞转瞬即逝。漏洞是动态的，不断产生，不断消失，所以其实更像电。电一旦发出来，难以长期保存。所以搞电力建设，核心不是囤积多少电池，而是建多少电站。对于漏洞来说，“电站”就是安全研究者。

在漏洞研究领域，人和人的差别有多大呢？大到一万个臭皮匠也顶不了一个诸葛亮。在任何行业，这种情况都是管理者最不喜欢的，但又是一个客观事实。在目前以及可预见的未来，没有什么软件或硬件能代替优秀的漏洞研究者。

目前业界公认水平最高的漏洞研究团队是 Google 的 Project Zero。Project Zero 汇聚了全世界各类漏洞研究方向上最好的一些人，每年都能产出数量和质量惊人的成果。那为什么这些人都愿意去 Project Zero？

Project Zero 的待遇当然是很好的。但同样的待遇，很多公司都能给得出。最主要的原因是 Google 给了 Project Zero 最宽松的氛围，特别是制度性地允许和鼓励对研究结果进行完全披露。

对研究者来说，除了薪酬待遇，最重要的是自己的成果能为业界所知，能自由地进行交流。这一点，决定了他们能够从内心中产生强大的自我驱动力，能对研究的问题昼思夜想，全身心投入。而不会像大多数人那样抱着拿一份钱打一份工的想法。不会多工作几分钟就认为公司占便宜了，自己吃亏了。

2006 年前后，国内网络安全研究人员的薪酬水平比较低。那几年 McAfee、Fortinet 等外企从中国挖走了大批优秀人才。以至于硅谷有些安全公司研究团队里一半以上都是华人。2012 年之后，国内这个行业的薪酬情况逐渐好起来，去国外的人就少了，一些已经去了国外的人也回来了。

之前看过《重来 3：跳出疯狂的忙碌》，前些日子 Tony 推荐，我又认真重读。Basecamp 这两位特立独行的创业者的书，曾有一本《Getting Real》，我学产品时，从中吸收了不少观点。

又看一遍后，我总体想法有：

1. 不追求做大、上市这些事，而是把目标设定为做一家能够长期生存、有价值、有利润、有效率、员工满意度高的小公司。

2. 把时间花在思考怎么做减法，而非只是忙碌地工作。可以微调组织结构、业务、产品，公司、团队、业务、商业模式都简单了，效率能高起来，团队也能更开心。

摘抄书中的一些内容（但还是推荐你自己看一遍）：

一切始于这个概念：你的公司是个产品。没错，你做出来的东西叫作产品（或服务），但它是经由你的公司做出来的。正是因为这个原因，你的公司应该是你最棒的产品。

如果你把公司视作产品，你就会问出不一样的问题：在这里工作的人知道怎么使用它吗？它是简单的还是复杂的？它的运作原理显而易见吗？它哪里最快，哪里最慢？它有漏洞吗？哪些漏洞可以快速修复，哪些需要花很长时间？公司跟软件一样，必须能用，也必须有用。它大概也会有漏洞—由于糟糕的组织设计或文化上的疏忽，公司所遭遇的挫败。

当你把公司当成一件产品来审视的时候，你就有了全新的视角，各种各样的改进可能会纷纷出现。当你意识到你的工作方式可以改变时，你就可以着手塑造更新、更好的东西了。

公司里的各种条条框框、规则，其实都是可变的。

做公司如做产品，要不断迭代，越来越简单、易用、自然，而且有利润。

我们不推崇忙碌，我们推崇高效。投入的精力能减少吗？要做的事情能砍掉多少？我们的清单里写的不是“哪些事情要做”，而是“哪些事情不要做”。

什么也不干是完全可以的。更妙的境界是，没有值得做的事情。如果你当天的工作只需3小时就能完成，那做完了就停下。不要只为了让自己保持忙碌或拥有高产的感觉，就再用5小时的工作把这一天填满。利用时间的一个妙招就是，不做不值得做的事。

想要完成更多事？唯一的办法就是少干点。

我们决定，规模要尽可能地小，持续时间要尽可能地长。我们没有不断发明新产品、承揽更多责任与义务，而是持续不断地、有意识地精简和减负——即便是在顺风顺水的情况下。

世上并没有哪条自然法则规定，企业必须快速且永无止境地增长。

做减法，做更少的事，但是做好，做出效果。

我们并不是凭空认为，在绝大多数情况下，非实时沟通就是比实时沟通效果好，这是经过好几年对聊天工具的滥用之后才发现的。我们看到了干扰是如何发生的，工作效率又是如何被降低的，于是我们找到了一种更好的沟通方式。

上次你能把完全不受干扰的3个甚至4个小时留给自己和工作，是什么时候？我们曾在一个600人的大会上提出这个问题，举手作答者还不到30人。你答得出来吗？

我们努力创造出一种非即时回应的文化。如果一个问题并不紧急，那么3小时后再回复也无妨，没人会火烧眉毛。我们不但接受，还鼓励员工这样做：不要经常检查电子邮件、聊天工具或即时短信，给自己留出足够长的、不受打扰的时段。

等一等不要紧，天不会塌下来，公司也不会倒掉。它只会变成一个更加冷静、镇定，工作起来更舒服的地方。对每个人都一样。

涉及群聊时，我们有两条首要的经验法则：“在少数情况下实时沟通，在大部分情况下不必”，以及“如果这件事很重要，那就慢慢来”。

重要的议题需要留出时间思考，也需要跟群聊中的其他话题区分开来。如果大家在群聊中讨论的某件事情显然非常重要，就不应该七零八落地一句句发消息，我们就会请大家“把它好好地写下来”。这一条要和另一条准则一起使用：“如果你需要每个人都看到它，就不要在群里说。”为这件事开辟一个永久的、可以让大家深思熟虑的讨论空间，而不是让它在5分钟后就被新信息淹没不见。

有许多管理人员之所以喜欢群聊，是因为他们可以快速地进出，并且同时对很多人说话，可这会导致许多员工整天心神不宁：明知自己还有很多实实在在的工作要做，却必须努力跟上群聊的进程。

聊天工具、群聊其实对效率是很大的妨碍。

放下手机，慢一些回复，往往也没事。

对重要的议题，用云文档讨论，或者当面快速聊清楚。

在Basecamp，我们的一个应对办法是写月度简报。团队带头人把当月做完的工作和取得的进展写成简报，向全公司公开。把所有微末小事都总结成大家愿意去关心的要点。这就足以让大家都跟上节奏，但又用不着了解无关紧要的海量细节。

管人的人，按月做 OKR 回顾，其他人索性抛掉周报日报这些事。

每周有个跨部门的信息同步会议，提前把待讨论事项都记录在云文档里，都做预习、思考，开会时有事说事，没事几分钟快速结束。

固定的截止日期，可变的工作量，如此一来，权衡、妥协和折中就会参与进来，而这些都是健康、冷静的项目进程的必备要素。而当你既要敲定日期，工作量也不能变的时候，你就等着迎接焦虑、过劳和筋疲力尽吧。

界限即自由。切实可行的截止日期，再加上灵活可变的工作量，刚好符合这个道理。但要做到这个，你需要制订预算，摒除预估。高质量的成果会自然而然地将给定的时间段填满——如果你允许的话。

尝试两周一个冲刺的 Scrum，就是“固定截止日期 + 可变工作量”的一种体现，我们正在实验。

大约两周前，读完了这本书，当时就觉得喜欢。今天拿起来，打算做个尝试：看着目录，写下每个章节的大意，或我的理解，或我的收获（这也是检验我自己是不是有收获的方法之一）。

01 学习第二层次思维

学会思考，学会想深一步，学会观察、分析、理解大众思维，并从中得出有效指导行动的方案。

02 理解市场的有效性及局限性

理解所谓的“市场先生”，市场虽然多数时候有效，但也有失效的时候，尝试理解、寻找并利用这种机会。

03 准确估计价值

04 价格与价值的关系

投资的核心是识别资产的内在价值（其实创业、做产品又何尝不是——找到用户有需求，对用户有价值的事情，做深做透做扎实）。

有好价值的资产，并不一定有好价格。市场失效的时候，价值与价格就会偏离。

05 理解风险

06 识别风险

07 控制风险

风险这件事，巴菲特说的是“安全边际”——足够低的价格买到好资产，风险就小。不仅投资如此，在创业中，安全边际也同样重要，更不用说我从事过十余年的信息安全行业了——整个行业都是在努力理解、识别和控制风险。

08 关注周期

09 钟摆意识

所谓“康波周期”、所谓“历史五百年一轮回”，说的都是周期的事。钟摆意识，我理解其实也是周期的另一种形象比喻。

10 抵御消极影响

各种心理因素可能给投资带来影响——最典型的就是恐惧和贪婪。

11 逆向投资

还是“第二层次思维”，只是从思维到行动了。

12 寻找便宜货

还是价值与价格的关系，寻找低价格的标的。

13 耐心等待机会

心理因素，得耐得住冷板凳坐好多年的寂寞。

14 认识预测的局限性

所谓“随机漫步”，未来不可测，尤其不可能从过去推测未来。

15 正确认识自身

这一章还是在说周期——不识庐山真面目，只缘身在此山中，自己身处周期时，应该如何识别。

16 重视运气

17 多元化投资

18 避免错误

其实这几章还是在说风险，因为未来不可预测，因此要坚持防御型投资、注重安全边际。

孙子说：昔之善战者，先为不可胜，以待敌之可胜。不可胜在己，可胜在敌。故善战者能为不可胜，不能使敌之必可胜。孙子还说：故举秋毫不为多力，见日月不为明目，闻雷霆不为聪耳。古之所谓善战者，胜于易胜者也。故善战者之胜也，无智名，无勇功，故其战，胜不忒。不忒者，其所措必胜，胜已败者也。故善战者，立于不败之地，而不失敌之败也。

都是别犯错的意思。

19 增值的意义

持续增长就有复利。而投机带来的风险，可能导致被迫下牌桌。

20 合理预期

“合理”确实很重要，只有合理，心理才不会有那么多波澜，才能真的抵御各种消极影响。

21 最重要的事

全书汇总提炼。

这本书是霍华德•马克斯的《投资最重要的事》，虽然是一本投资领域的经典书籍，但我看来，对我参与过的一些事——创业、做产品、信息安全，居然也都有帮助。

因此，推荐一下。

知识星球里有内容，就会遇上盗版。有些盗版发生在闲鱼、QQ 或微信群，我们会直接与平台协调，申请下架盗版内容。有些盗版更嚣张些，比如我们遇到过自建网站卖盗版，甚至做了 App 卖盗版的。

尝试过自己处置。方式一是通过搜索或社工手段找到具体的盗版者，法务致电明确告知如果不停止侵权，会诉诸法律。方式二是找域名提供商、网站服务提供商沟通，请他们停止提供服务。

但比较累——找人累，联系服务商累，服务商拖沓沟通也会觉得累——毕竟整个流程我们都不专业。

后来请大路帮忙，他创业从事威胁情报工作，积累了大量与运营商、各种业务提供商沟通的业务接口，处理起来很流畅——对侵权站点的关停，效率很高。

前几天，大路寄来一本他们公司编写的《网络威胁情报技术指南》，翻看到其中一段：

天际友盟将自身定位从“情报应用”发展至“数字风险防护”，形成“网络威胁情报应用 + 数字品牌保护”两大解决方案线，并以钓鱼网站监测和关停为起点，推出一系列针对数字品牌保护的风险场景解决方案。

“威胁情报”这个词听了很多年，只是我这才意识到，原来它延伸之后，也可以是数字品牌保护、知识产权保护，和我们也有关。

这本小册子文字稍嫌专业晦涩，适合网络安全从业者、企业的风险管理人员以及希望了解威胁情报是什么的人们速读。书中写清楚了威胁情报是什么、威胁情报与数字化风险管理的关系、业界对威胁情报研究的方法论、通用标准以及部分业界的实践。

翻阅之后，我现在在一些安全圈的朋友们的群里，听他们聊起威胁情报时，提到的那些词（比如 ATT&CK、STIX……）能听懂了——我挺畏惧这些缩写的。看起来高大上，其实知道意思了，也就那样。

这样吧，送 30 本《网络威胁情报技术指南》，公众号回复“威胁情报”即可参与。

说起安全，朋友曾经跟武侠里的江湖做过类比：

黑客、攻击者类似啸聚山林的山大王。公安干警可以类比大内高手。企业里的安全从业者类似大户人家的护院。安全公司则像镖局。平头老百姓，在江湖里要保平安，有些需要了解的基本常识，比如古龙在《碧玉刀》里写到，段玉出门前父亲交代他七大戒律：

不可惹事生非，多管闲事。

不可随意交结陌生的朋友。

不可和陌生人赌钱。

不可与僧道乞丐一类人结怨。

钱财不可露白。

不可轻信人言。

千万不可和陌生的女人来往。

我也梳理一些我认知中，普通人在生活中需要具备的信息安全知识，虽是常识，估计还是会有很多人不知道，或者是知道了但是没做到——就像上面的“七大戒律”，段玉一条都没遵守。

但，反正我不敢自大，尽量做了，减少掉坑的机率。

每个人都会是攻击目标。千万不要以为新闻里发生的那些事不会发生在自己头上，互联网时代，攻击很简单。

梳理清楚个人最在意的信息，并做好备份。确保在换手机、丢手机、换电话号码前，检查过这些信息可以恢复。（反例：换电话卡，但是银行绑定的手机号还是旧号码。换手机，但是谷歌验证器里的一次性口令没备份）。

保持电话卡安全。设置 PIN 码（小心不要反而锁卡了）。如果要更换号码时记得看上一条——微信、QQ、银行卡等重要密码解绑。

保持操作系统、应用软件更新到最新版本。不用的软件可以移除，尽量保持系统干净简洁。

安装软件必须从官方应用市场，或者软件的官网下载。要假定任何第三方网站都是不安全的。

对“钓鱼”保持警惕——目前常见形态是电话、邮件、微信、QQ 等渠道发来诈骗信息、攻击软件等，因此无论发来信息的人是否熟人，不安装发来的软件（参考条目 5），如果涉及财物，先当诈骗观察、跟进。

使用合适的密码管理方法，重要的信息、站点（比如 2 里列出的内容），密码不要和其他一样。如果有很多密码，可以使用类似 1Password 这样的密码管理工具。密码的设置有不少技巧，可以搜一搜适当学习，找一种适合自己的。

设备（电脑、手机、移动硬盘等）不让不可信的人接触。比如离开电脑的时候要锁屏。

数据要定期备份，并且定期数据恢复演习。比如可以同时备份到移动硬盘/NAS 和云盘里，这样即使遇到一些不可抗力，数据损失也不会太大。

旧设备出售、转让前，彻底清除数据。

有双因素认证的重要网站，可以打开双因素认证。一定记得做好备份——避免手机遗失带来的损失。

尽量少用外界的免费 Wi-Fi。不可避免地接入第三方 Wi-Fi 的时候，避免使用 2 里的信息——比如，就不登录银行账户了。

使用社交媒体软件时，检查社交软件里的隐私设置，减少隐私信息的泄漏。比如，不发涉及个人信息——居住的小区、身份证、家庭照片等的照片。

如果使用 Windows 系统，需要安装防病毒软件。

这篇文章写得有点枯燥，起因是有位读者给我私信，聊起他换电话卡之后，带来了一些安全上的困扰。过往之事不可追，纠结无益。

当前国家对个人信息安全保护越来越重视，立法、执行都有很多优化，但无论如何，这些常识，任何时候知道，任何时候开始做，对未来都是有好处的。