Posts for: #Tools

之前看过《重来 3：跳出疯狂的忙碌》，前些日子 Tony 推荐，我又认真重读。Basecamp 这两位特立独行的创业者的书，曾有一本《Getting Real》，我学产品时，从中吸收了不少观点。

又看一遍后，我总体想法有：

1. 不追求做大、上市这些事，而是把目标设定为做一家能够长期生存、有价值、有利润、有效率、员工满意度高的小公司。

2. 把时间花在思考怎么做减法，而非只是忙碌地工作。可以微调组织结构、业务、产品，公司、团队、业务、商业模式都简单了，效率能高起来，团队也能更开心。

摘抄书中的一些内容（但还是推荐你自己看一遍）：

一切始于这个概念：你的公司是个产品。没错，你做出来的东西叫作产品（或服务），但它是经由你的公司做出来的。正是因为这个原因，你的公司应该是你最棒的产品。

如果你把公司视作产品，你就会问出不一样的问题：在这里工作的人知道怎么使用它吗？它是简单的还是复杂的？它的运作原理显而易见吗？它哪里最快，哪里最慢？它有漏洞吗？哪些漏洞可以快速修复，哪些需要花很长时间？公司跟软件一样，必须能用，也必须有用。它大概也会有漏洞—由于糟糕的组织设计或文化上的疏忽，公司所遭遇的挫败。

当你把公司当成一件产品来审视的时候，你就有了全新的视角，各种各样的改进可能会纷纷出现。当你意识到你的工作方式可以改变时，你就可以着手塑造更新、更好的东西了。

公司里的各种条条框框、规则，其实都是可变的。

做公司如做产品，要不断迭代，越来越简单、易用、自然，而且有利润。

我们不推崇忙碌，我们推崇高效。投入的精力能减少吗？要做的事情能砍掉多少？我们的清单里写的不是“哪些事情要做”，而是“哪些事情不要做”。

什么也不干是完全可以的。更妙的境界是，没有值得做的事情。如果你当天的工作只需3小时就能完成，那做完了就停下。不要只为了让自己保持忙碌或拥有高产的感觉，就再用5小时的工作把这一天填满。利用时间的一个妙招就是，不做不值得做的事。

想要完成更多事？唯一的办法就是少干点。

我们决定，规模要尽可能地小，持续时间要尽可能地长。我们没有不断发明新产品、承揽更多责任与义务，而是持续不断地、有意识地精简和减负——即便是在顺风顺水的情况下。

世上并没有哪条自然法则规定，企业必须快速且永无止境地增长。

做减法，做更少的事，但是做好，做出效果。

我们并不是凭空认为，在绝大多数情况下，非实时沟通就是比实时沟通效果好，这是经过好几年对聊天工具的滥用之后才发现的。我们看到了干扰是如何发生的，工作效率又是如何被降低的，于是我们找到了一种更好的沟通方式。

上次你能把完全不受干扰的3个甚至4个小时留给自己和工作，是什么时候？我们曾在一个600人的大会上提出这个问题，举手作答者还不到30人。你答得出来吗？

我们努力创造出一种非即时回应的文化。如果一个问题并不紧急，那么3小时后再回复也无妨，没人会火烧眉毛。我们不但接受，还鼓励员工这样做：不要经常检查电子邮件、聊天工具或即时短信，给自己留出足够长的、不受打扰的时段。

等一等不要紧，天不会塌下来，公司也不会倒掉。它只会变成一个更加冷静、镇定，工作起来更舒服的地方。对每个人都一样。

涉及群聊时，我们有两条首要的经验法则：“在少数情况下实时沟通，在大部分情况下不必”，以及“如果这件事很重要，那就慢慢来”。

重要的议题需要留出时间思考，也需要跟群聊中的其他话题区分开来。如果大家在群聊中讨论的某件事情显然非常重要，就不应该七零八落地一句句发消息，我们就会请大家“把它好好地写下来”。这一条要和另一条准则一起使用：“如果你需要每个人都看到它，就不要在群里说。”为这件事开辟一个永久的、可以让大家深思熟虑的讨论空间，而不是让它在5分钟后就被新信息淹没不见。

有许多管理人员之所以喜欢群聊，是因为他们可以快速地进出，并且同时对很多人说话，可这会导致许多员工整天心神不宁：明知自己还有很多实实在在的工作要做，却必须努力跟上群聊的进程。

聊天工具、群聊其实对效率是很大的妨碍。

放下手机，慢一些回复，往往也没事。

对重要的议题，用云文档讨论，或者当面快速聊清楚。

在Basecamp，我们的一个应对办法是写月度简报。团队带头人把当月做完的工作和取得的进展写成简报，向全公司公开。把所有微末小事都总结成大家愿意去关心的要点。这就足以让大家都跟上节奏，但又用不着了解无关紧要的海量细节。

管人的人，按月做 OKR 回顾，其他人索性抛掉周报日报这些事。

每周有个跨部门的信息同步会议，提前把待讨论事项都记录在云文档里，都做预习、思考，开会时有事说事，没事几分钟快速结束。

固定的截止日期，可变的工作量，如此一来，权衡、妥协和折中就会参与进来，而这些都是健康、冷静的项目进程的必备要素。而当你既要敲定日期，工作量也不能变的时候，你就等着迎接焦虑、过劳和筋疲力尽吧。

界限即自由。切实可行的截止日期，再加上灵活可变的工作量，刚好符合这个道理。但要做到这个，你需要制订预算，摒除预估。高质量的成果会自然而然地将给定的时间段填满——如果你允许的话。

尝试两周一个冲刺的 Scrum，就是“固定截止日期 + 可变工作量”的一种体现，我们正在实验。

知识星球里有内容，就会遇上盗版。有些盗版发生在闲鱼、QQ 或微信群，我们会直接与平台协调，申请下架盗版内容。有些盗版更嚣张些，比如我们遇到过自建网站卖盗版，甚至做了 App 卖盗版的。

尝试过自己处置。方式一是通过搜索或社工手段找到具体的盗版者，法务致电明确告知如果不停止侵权，会诉诸法律。方式二是找域名提供商、网站服务提供商沟通，请他们停止提供服务。

但比较累——找人累，联系服务商累，服务商拖沓沟通也会觉得累——毕竟整个流程我们都不专业。

后来请大路帮忙，他创业从事威胁情报工作，积累了大量与运营商、各种业务提供商沟通的业务接口，处理起来很流畅——对侵权站点的关停，效率很高。

前几天，大路寄来一本他们公司编写的《网络威胁情报技术指南》，翻看到其中一段：

天际友盟将自身定位从“情报应用”发展至“数字风险防护”，形成“网络威胁情报应用 + 数字品牌保护”两大解决方案线，并以钓鱼网站监测和关停为起点，推出一系列针对数字品牌保护的风险场景解决方案。

“威胁情报”这个词听了很多年，只是我这才意识到，原来它延伸之后，也可以是数字品牌保护、知识产权保护，和我们也有关。

这本小册子文字稍嫌专业晦涩，适合网络安全从业者、企业的风险管理人员以及希望了解威胁情报是什么的人们速读。书中写清楚了威胁情报是什么、威胁情报与数字化风险管理的关系、业界对威胁情报研究的方法论、通用标准以及部分业界的实践。

翻阅之后，我现在在一些安全圈的朋友们的群里，听他们聊起威胁情报时，提到的那些词（比如 ATT&CK、STIX……）能听懂了——我挺畏惧这些缩写的。看起来高大上，其实知道意思了，也就那样。

这样吧，送 30 本《网络威胁情报技术指南》，公众号回复“威胁情报”即可参与。

我学拍照两年，照片拍得不好，想法倒是不少。关于摄影，我理解有几个阶段——或者说几重境界：

熟悉技术。懂得一些基本概念——美丑、光线、构图。学会操作设备——对相机来说，是光圈、快门、ISO、景深这样的基础知识，手机甚至都不用管。加上基本的修图能力——PhotoShop、Lightroom 或者就是手机上的修图软件都行。这个阶段可能会有些朋友抱着“工欲善其事，必先利其器”想法，像我一样沦为器材党。

学会观察。不同人在同一个现场，可以拍出不同感染力的作品。到这时候，应该要明白拍摄其实就是把一个场景放进一个框里二维化，那么——从哪个角度拍（要不要围绕着主体绕一圈或者绕很多圈看看）、离多远拍（前进一步或者后退一步效果会有什么变化）、从哪个高度拍（仰视、俯视、平视）、在哪个瞬间按下快门……这一切的选择，取决于观察力。

大量实践。庖丁解牛，唯手熟尔。了解了基础技术，学会了观察，不代表在发生值得记录的瞬间时，能够准备好——任何“机会”背后都是大量练习、实践、准备、试错之后的结果。把基础技术变成肌肉记忆，把观察能力变成本能。这一步永远没有尽头。

渴望表达。这是最重要的，任何艺术家想要拿出站得住脚的作品，应该有非常丰沛的想表达的情绪，然后找到了合适的创作工具——可能是文学、音乐、绘画、舞蹈……如果作品还有其独到之处，而且创作者的表达和大量受众有了共情——这可能除了天赋，还真的需要运气——那作品就有机会传世。

理解了这些，可能有助于理解一些困惑——比如我在学摄影过程中产生过的一些：

徕卡 M 功能很少（没有自动对焦、性能差、重、人体工学设计差、无翻转屏、挑 SD 卡……），为什么这么多人喜欢：我现在觉得它好的地方是——可以逼一个人掌握好基础技术，甚至逼他学会观察，否则甚至连一张像样的照片都拍不出来。以及它的手动对焦如果掌握了，形成肌肉记忆，在大多数普通拍摄场景下够用了；

XX 用自动相机（手机）也照样出摄影集：极少数人靠天赋，那是老天爷赏饭吃，他们不用大量实践，就有了牛逼的想法要表达，而且视角独特，这种情况下，什么技术啊设备啊都是次要的。但绝大多数人最好都别奢望自己是天才——能赌对的几率实在太低了；

XX 的照片都什么玩意儿，我随随便便都能拍出来：那可能是你没看懂人家想表达的是什么——人家也没义务帮你明白，反正他表达了，爽了，还有人认。至于我们这些读者，看得懂看不懂，服气不服气，作者一点都不关心……或许他成名前也关心，但成名之后，就有了更大的表达自由。

介绍几位摄影师吧。

寇德卡

1968 年，拍摄了苏联入侵捷克的《布拉格之春》，《流放》记录了他的流浪生活，《吉普赛人》里他和吉普赛人一起生活了很多年。

他说：

你不需要太多东西，你就可以活着。

在你的生命里你唯一拥有的是时间。我不想浪费生命里的任何时间，我想拍照。我从来没为任何人工作。我从来不接活，也不为钱而拍。我拍照只是为我自己。

我以最低要求的方式生活，我不需要太多东西：一年只需要一个好的睡袋，几件衣服，一双鞋，两双袜子和一双手套。

对我来说，重要的是我能去做。我一直在不停的工作，但拍出的好照片实在很少。我不觉得我是一个好摄影师，我觉得不管什么人，如果他像我这样努力，一定能达到我的水准。不过我之所以工作，不是为了证明我的才气。我几乎天天拍，除非天气冷得不能以我这种方式旅行，像现在的这个季节就不行。我拍的东西有时候还不错，有时候很差。但我相信，时间久了，总会有些好东西出来，这一点我并不操心。

薇薇安·迈尔

她的职业是保姆，留下了十五万张底片，绝大多数都没有冲洗——也就是她自己没看过。

八十多岁孤独地去世后，她的作品才偶然地被发现并传播。

纪录片《寻找薇薇安·迈尔》里记录了对她的研究。

有可能，她就是单纯地喜欢拍摄。

荒木经惟

出版了 500 本以上的摄影集，无所不拍——在一定程度上，他就是摄影本身，他就是照相机……

他与妻子的私生活，亲人的离世，什么都能成为他的拍摄内容。

老了，一只眼睛失明了，还到处晃悠拍照……

最后，用安塞尔·亚当斯的一段话结尾（不仅摄影，其他创作也这样，做产品也这样，创业也是如此）。

我们不只是用相机去拍照，我们带到摄影中去的是所有我们读过的书，看过的电影，听过的音乐和爱过的人。

说起安全，朋友曾经跟武侠里的江湖做过类比：

黑客、攻击者类似啸聚山林的山大王。公安干警可以类比大内高手。企业里的安全从业者类似大户人家的护院。安全公司则像镖局。平头老百姓，在江湖里要保平安，有些需要了解的基本常识，比如古龙在《碧玉刀》里写到，段玉出门前父亲交代他七大戒律：

不可惹事生非，多管闲事。

不可随意交结陌生的朋友。

不可和陌生人赌钱。

不可与僧道乞丐一类人结怨。

钱财不可露白。

不可轻信人言。

千万不可和陌生的女人来往。

我也梳理一些我认知中，普通人在生活中需要具备的信息安全知识，虽是常识，估计还是会有很多人不知道，或者是知道了但是没做到——就像上面的“七大戒律”，段玉一条都没遵守。

但，反正我不敢自大，尽量做了，减少掉坑的机率。

每个人都会是攻击目标。千万不要以为新闻里发生的那些事不会发生在自己头上，互联网时代，攻击很简单。

梳理清楚个人最在意的信息，并做好备份。确保在换手机、丢手机、换电话号码前，检查过这些信息可以恢复。（反例：换电话卡，但是银行绑定的手机号还是旧号码。换手机，但是谷歌验证器里的一次性口令没备份）。

保持电话卡安全。设置 PIN 码（小心不要反而锁卡了）。如果要更换号码时记得看上一条——微信、QQ、银行卡等重要密码解绑。

保持操作系统、应用软件更新到最新版本。不用的软件可以移除，尽量保持系统干净简洁。

安装软件必须从官方应用市场，或者软件的官网下载。要假定任何第三方网站都是不安全的。

对“钓鱼”保持警惕——目前常见形态是电话、邮件、微信、QQ 等渠道发来诈骗信息、攻击软件等，因此无论发来信息的人是否熟人，不安装发来的软件（参考条目 5），如果涉及财物，先当诈骗观察、跟进。

使用合适的密码管理方法，重要的信息、站点（比如 2 里列出的内容），密码不要和其他一样。如果有很多密码，可以使用类似 1Password 这样的密码管理工具。密码的设置有不少技巧，可以搜一搜适当学习，找一种适合自己的。

设备（电脑、手机、移动硬盘等）不让不可信的人接触。比如离开电脑的时候要锁屏。

数据要定期备份，并且定期数据恢复演习。比如可以同时备份到移动硬盘/NAS 和云盘里，这样即使遇到一些不可抗力，数据损失也不会太大。

旧设备出售、转让前，彻底清除数据。

有双因素认证的重要网站，可以打开双因素认证。一定记得做好备份——避免手机遗失带来的损失。

尽量少用外界的免费 Wi-Fi。不可避免地接入第三方 Wi-Fi 的时候，避免使用 2 里的信息——比如，就不登录银行账户了。

使用社交媒体软件时，检查社交软件里的隐私设置，减少隐私信息的泄漏。比如，不发涉及个人信息——居住的小区、身份证、家庭照片等的照片。

如果使用 Windows 系统，需要安装防病毒软件。

这篇文章写得有点枯燥，起因是有位读者给我私信，聊起他换电话卡之后，带来了一些安全上的困扰。过往之事不可追，纠结无益。

当前国家对个人信息安全保护越来越重视，立法、执行都有很多优化，但无论如何，这些常识，任何时候知道，任何时候开始做，对未来都是有好处的。

多年前，我们曾做过一个叫“超级巡警”的杀毒软件。产品界面朴素，但速度快，查杀效果好，一度做到了数百万日活。

当时，我们做了不少很棒的创新，并进入良性循环：找到用户需求，快速满足，带来一波增长。

只是好景不长。当时市场上的大玩家是 360，他们观察我们的迭代，对效果好的部分，模仿、改进、宣传。360 的影响力远大于超级巡警，往往一个创新点，我们带来五万新增，他们能带十倍。而且，有高出一个数量级的用户会认为，这个功能是他们首创。

我们团队加班加点，反而是在替他们创新，替他们试错。还是自带干粮。

后来，我做产品时，就努力想找一些“别人做不了”的事情。还拿 360 举例子。

360 靠免费杀毒，拿下瑞星、金山占领了多年的杀毒软件市场。那些老牌杀毒厂商之所以无力还击，是因为，他们的收入都来自“卖软件”，如果免费了，苦心经营多年的销售团队、渠道得砍掉，全部收入得砍掉。

一般人，下不去手。

如果能找到这种“攻敌不可救”的漏洞/夹缝，小产品可以争取到一段平安成长的时间。

然后，小产品慢慢长大了一点点，可能会担心别的创业公司来“模仿”了，这时候的壁垒应该怎么建？

巴菲特的护城河四要素是：品牌、网络效应（比如聊天工具，用户越多，越是只能在那上面找到朋友，就越离不开）、用户转换成本（比如用户要切换笔记软件，可能会舍不得之前存下的大量笔记）、成本。

如果你已经初步站住脚了，那最可操作的，建立护城河方法，似乎就只能是：

一是降低成本。不仅限于减员增效这种手段，还可以思考能不能找到十倍提升的方法——比如社区团购（减少渠道费用），比如滴滴（提高供应量）。二是以多打少。小团队抄你，你人要比他多。大团队抄你，你参战的人，还要比他多。这里拿出毛主席语录：

我们的战略是“以一当十”，我们的战术是“以十当一”，这是我们制胜敌人的根本法则之一。

我们是以少胜多的——我们向整个中国统治者这样说。我们又是以多胜少的——我们向战场上作战的各个局部的敌人这样说。这件事情已经不是什么秘密，敌人一般地都摸熟我们的脾气了。然而敌人不能取消我们的胜利，也不能避免他们的损失，因为何时何地我们这样做，他们不晓得。这一点我们是保守秘密的。红军的作战一般是奇袭。

毛泽东选集

深挖、打透一个群体、一个需求、一种场景，至少这部分，别人抢不走。