前些天粗略翻看了《The Barefoot Investor for FAMILIES》——书中描述了一些简单的方法，可以让孩子适度接触钱，有恰当的金钱观念。

因为是粗略翻看，所以我并没有细看作者提供的方法，只是扫过一眼，觉得颇有道理，自己又琢磨了一番后，上周将俩小朋友叫来，跟他们说了我的改良版玩法：

爸爸想给你们点零花钱，但是希望搞得好玩一点。

你们一人拿一个小本本，每天记下今天的好事情——你学了新东西，是好事。你扶老奶奶过马路，是好事。你帮着做了家务，是好事。甚至你在游戏里玩出了新花样，也是好事。当然，考试考得还不错，或者被老师表扬了，当然也是好事。这个本本可以命名为：让好事发生小本本，或者就叫好事本本。

然后再给你们一人三个小罐子当存钱罐。三个罐子分别取名叫：随便花、买大件和别人花。听名字就知道，随便花，你随时想花就花。买大件，就是最好存多点儿，可以买个贵点儿的好东西。别人花呢，可以用来帮助别人，或者给别人买生日礼物之类的，总之就是花在别人身上的。

每星期，你们俩跟我讲一讲你们的好事本本上都记了啥，然后我根据好事的发生情况，给你们零花钱，好事情多而且棒，就多点儿。

每次拿到钱，需要往三个罐罐里分别存点儿，至于怎么分配，你们自己决定。

第一次听他们讲“好事”的时候，有画了好看的画、拼出了有意思的积木、学会了游戏里的新技能、看书超过了一小时、被老师连续表扬……总之，小朋友都蛮自豪的。

给过钱后，娃们开始纠结要往哪个罐子里塞多点，我在一旁边看边乐。

仪式结束，能看得出，俩孩子都挺欢快的，我也是。

这种方式，我想应该有俩好处：

1、“好事本本”里记录下的诸多好事，可以让孩子更有自信心——每天回顾自己开心的事，周末还神气地讲给我听，再被我一通夸，似乎不骄傲也难？

2、对钱有点概念，对分几个账户储蓄有点概念。

这就是我 2022 计划里“陪孩子锻炼、阅读、储蓄”中的储蓄了，希望我能执行好。

轻松愉快地过了个元旦假期，除了陪家人、看书、看剧、锻炼之外，还用闲暇时间粗略规划了一下 2022 想做的事情。事情有点多，因此，这也就是个初稿，说不定得砍一些。

为什么要立 Flag？

因为，想做一件事，说出来后，大家都知道了，如果没做到，会被嘲笑。希望不被嘲笑得太狠，就更会尽力（比如，今年的个人 Flag 里，其实我很担心“冷水澡”这件事是不是能坚持一个月以上——毕竟天越来越冷了……如果我只是心里自己这么想，估计明天就放弃了，但一旦按下发送按钮……）。

工作

让公司更健康。商业模式，业务、产品和组织都更能抵御风险。

提升产品的竞争力。努力做到至少在某一个方面无可替代。

多授权，少决策。让团队做事。

家庭

陪孩子锻炼、阅读、储蓄。

即便有疫情，一年回家陪父母 5 次以上，哪怕就是回去聊聊天。

整理出两年的家庭照片并打印输出。

个人

生活健康些。健康饮食。每天锻炼、早睡、冥想、冷水澡。

学英语。英文书籍 10+ 阅读量，且练听力口语，能日常交流。

做些难的、新的、以前不认为自己会深入的阅读。如：数学、经济学、物理、统计学、伦理学、进化论、心理学（各 1-2 本书籍）。

学投资。争取在“自我感觉”看懂的前提下购买 1-2 只股票。

学摄影。看且记录 30 本画册，保持随身携带相机记录一整年。

以上这些事，看上去很多，其实大方向就这几个：

对工作，为用户创造价值，同时公司、团队、自己获得回报。

对家庭，多陪伴。

对自己，要健康，要兴趣，还要回归儿时的好奇心，多接触新事物。

是时候再祭出这张图了：

2023 年 1 月，咱们再复盘。

整个 2021 年，我的电脑桌面都是下面这张图片。

一如往常，这么些事，有些完成了，有些甚至没开始。

先说公司。

“公司的组织建设完整、健康”，这个目标是基于此前 Tony 曾经建议不要浪费培养人的“带宽”，因此希望尽量让团队中该有的角色都完备。今年有十几位新同事入职，我们从三十人的小公司，变成四十几人的小公司了。虽然还有少数岗位缺位，但比起去年，已经好太多了。这里得感谢今年开始协作的人力资源同事，很专业。

至于“保持利润且找到一个可以持续发展的创新点”，今年没能达成董事会预期的目标——虽然年中就很不争气地做了预警，幸好公司还在盈利。启动了新项目“星空问答”——虽然不少朋友不看好，认为是个坑，幸好我们觉得，这事情可以长期做，耐心做。

然后是自己的工作。

“完成社群训练营的体系设计、内容撰写，训练营上线”。这件事，我发现自己做不好，所以请同事刘容协助。她计划做训练营的同时，再沉淀出一本书。目前训练营已经初步上线。这事儿算是甩锅了吧。

“每周直播，与用户线上连接”。本来是想与时俱进，乘上微信视频直播的大船的，做过几次之后，并没找到很好的感觉，觉得有点浪费时间。加上我习惯早睡，所以年初就迅速调整为每周写一篇公众号了。这事儿勉勉强强，算是及格。

“梳理核心用户信息，与核心用户保持紧密沟通”。这里的本意是我要保持跟星主的紧密沟通，因为我隐隐约约若有若无的社恐，实际上仍然只跟星主们保持藕断丝连犹抱琵琶半遮面的君子之交。

给个人定的事情有点多。

“锻炼出腹肌”这事儿真的难，我今年保持了每周三次半小时以上的运动，学会了蛙泳与自由泳，并且较好地控制了饮食，但仍然只能做到 BMI 22，体脂率 19，腹肌依然羞涩地隐藏着。

“阅读 100 本书 + 50 本画册，有感触的写笔记”。书倒是读了不止 100 本，画册就荒废了，而笔记，也意兴阑珊。有时间光顾享受阅读了，实在懒得动笔。

“用《洞察：精确观察和有效沟通的艺术》中提到的方法，练习自己的观察力”。这事儿我记了两年了，都没有很好地执行，我在考虑，2022 年是不是索性用知识星球做一个训练营，捎带着自己也能练一练。

“保持冷静，不生气”。今年发脾气的次数少了，年中看了些冲突管理的书，年底读了《非暴力沟通》，都有些实效。当然，也可能如一帮损友所说，纯粹就是岁数到了。

“整理并印出 2018、2019、2020 家庭相册”。这事儿，一年拖一年的，我都不好意思说自己曾经是个摄影爱好者了，是不是有可能春节假期能整理整理？羞愧。

“带泡泡完成一个项目”。今年带小朋友参加了极棒（GeekPWN），感谢极棒的弟兄们支持。小朋友本来就喜欢电脑，这个经历，应该能是一颗奇妙的种子吧。

“带叫叫坚持锻炼身体”。下半年开始，带俩神兽一周三次早起跑步。就算前几天冷，小朋友也还是咬牙一骨碌就爬起来，跑步时，速度不快，也是极好的亲子交流时节。

今年遇到的事情不少，心态积极加上方法科学，总还算相对平稳。新一年，祝愿国家好，大家好，小家也好。

最近这些天，被 Log4j 相关的文章、讨论刷了屏。目前我在网上看到的文章，自媒体大多饱含情绪批评阿里，安全圈则多数对技术研究环境有忧虑。

列举一些信息：

1、法律——网络产品安全漏洞管理规定。

链接：http://www.cac.gov.cn/2021-07/13/c_1627761607640342.htm

对“网络产品提供者”（所有提供网络产品的企业，理论上都受约束）的规定：

第七条 网络产品提供者应当履行下列网络产品安全漏洞管理义务，确保其产品安全漏洞得到及时修补和合理发布，并指导支持产品用户采取防范措施：

（一）发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。

（二）应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

（三）应当及时组织对网络产品安全漏洞进行修补，对于需要产品用户（含下游厂商）采取软件、固件升级等措施的，应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户，并提供必要的技术支持。

对从事网络产品安全漏洞发现、收集的组织或者个人的规定：

（一）不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息；认为有必要提前发布的，应当与相关网络产品提供者共同评估协商，并向工业和信息化部、公安部报告，由工业和信息化部、公安部组织评估后进行发布。

（二）不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。

（三）不得刻意夸大网络产品安全漏洞的危害和风险，不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。

（四）不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。

（五）在发布网络产品安全漏洞时，应当同步发布修补或者防范措施。

（六）在国家举办重大活动期间，未经公安部同意，不得擅自发布网络产品安全漏洞信息。

（七）不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。

（八）法律法规的其他相关规定。

在这个事件中，阿里云同时兼具两个身份（理论上，所有用到 Log4j，受漏洞影响的产品和企业，都是网络产品提供者）。

2、工信部网络安全管理局通报

阿里云发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后，根据阿里云整改情况，研究恢复其上述合作单位。

3、阿里云回应：

阿里云一名研发工程师发现 Log4j2 组件的一个安全 bug，遂按业界惯例以邮件方式向软件开发方 Apache 开源社区报告这一问题请求帮助。Apache 开源社区确认这是一个安全漏洞，并向全球发布修复补丁。随后，该漏洞被外界证实为一个全球性的重大漏洞。

阿里云因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。阿里云将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险防范工作。

4、负责任的披露（英语：Responsible disclosure）是计算机安全或其他领域中的一种漏洞披露模型，它限制了漏洞披露的行为，以提供一段时间来修补或修缮即将披露的漏洞或问题。

这也是阿里云提到的“业界惯例”。

5、这两年，我在社交媒体上陆续看到有些安全从业者到日本、新加坡等地工作。

至于观点，贴一下我信服的 TK（微博：@tombkeeper）在 2019 年 6 月就发过的内容：

限制漏洞披露，结果必然会影响漏洞研究本身。

漏洞研究和其它科技研究工作一样，都是特别苦的事情。人为什么愿意干特别苦的事情？那些博士们为什么愿意在实验室长年累月熬着？当然是为了发布研究成果，获得由此带来的收益（名、利、自我实现感，等等）。限制漏洞披露，就是削减漏洞研究的收益。

如果这种限制是全世界统一行动，那么大家刀枪入库，马放南山，卸甲归田，也挺好的。而如果只是一个国家这么干，那就相当于自己单方面主动裁军。

对安全问题的一个常见误解是认为漏洞是某种像导弹一样的东西，可以用油纸包起来放到山洞里。但导弹不会消失，而漏洞转瞬即逝。漏洞是动态的，不断产生，不断消失，所以其实更像电。电一旦发出来，难以长期保存。所以搞电力建设，核心不是囤积多少电池，而是建多少电站。对于漏洞来说，“电站”就是安全研究者。

在漏洞研究领域，人和人的差别有多大呢？大到一万个臭皮匠也顶不了一个诸葛亮。在任何行业，这种情况都是管理者最不喜欢的，但又是一个客观事实。在目前以及可预见的未来，没有什么软件或硬件能代替优秀的漏洞研究者。

目前业界公认水平最高的漏洞研究团队是 Google 的 Project Zero。Project Zero 汇聚了全世界各类漏洞研究方向上最好的一些人，每年都能产出数量和质量惊人的成果。那为什么这些人都愿意去 Project Zero？

Project Zero 的待遇当然是很好的。但同样的待遇，很多公司都能给得出。最主要的原因是 Google 给了 Project Zero 最宽松的氛围，特别是制度性地允许和鼓励对研究结果进行完全披露。

对研究者来说，除了薪酬待遇，最重要的是自己的成果能为业界所知，能自由地进行交流。这一点，决定了他们能够从内心中产生强大的自我驱动力，能对研究的问题昼思夜想，全身心投入。而不会像大多数人那样抱着拿一份钱打一份工的想法。不会多工作几分钟就认为公司占便宜了，自己吃亏了。

2006 年前后，国内网络安全研究人员的薪酬水平比较低。那几年 McAfee、Fortinet 等外企从中国挖走了大批优秀人才。以至于硅谷有些安全公司研究团队里一半以上都是华人。2012 年之后，国内这个行业的薪酬情况逐渐好起来，去国外的人就少了，一些已经去了国外的人也回来了。

《非暴力沟通》是冰河娟子两口子前些天到公司唠嗑时向我推荐的，正好我也觉得自己这方面做得不太好，之前 Shotgun 建议我看看冲突管理的书籍，我找了几本，没读进去。《非暴力沟通》却一口气快速看完了。

书中观点，让我总结，无非是：

沟通的核心在于倾听与表达。倾听他人时，不解读为批评或指责。表达自己时，不批评或指责。而这其中又有四个要点：

观察：调用一切知觉，看、听、回忆、思考沟通对象表达时的一切。

感受：基于观察结果，换位思考对方的感受，尝试理解，并问询（同时也可以表达自己的感受）。

需求：基于观察与感受，进一步理解对方和自己的真实需求。

行动：明确需求后，倾听时——可以明确地进一步向他确认、求证（也就是判断他的请求）。表达时，则清楚地提出请求，如“你是否愿意……”。

书里有很多例子，一一细看，能让你理解为什么有些表面看似差别不大的表达方式，在实践中会有巨大的差异。

如果你在工作生活中不时与伙伴发生冲突，或者家有不跟你好好沟通的熊孩子，可以尝试本书提到的技巧。

挺多人认为，写得太短，就不配称文章。我觉得，有观点，且能清晰表达，就好了。所以，虽然字少，照发不误。