主播/ 兔子，Carol

嘉賓/ 劉元

策劃/ 兔子，Carol

神秘訪客/ 胡小天

以下內(nèi)容是根據(jù)1月16日晚的直播摘錄的“學(xué)習(xí)”筆記，戳鏈接回聽完整節(jié)目。

嘉賓人物畫像

2021MTSC深圳站講師

測試架構(gòu)師 、9年測試開發(fā)經(jīng)驗(yàn)

業(yè)務(wù)安全SDK質(zhì)量保證 、性能測試平臺(tái)開發(fā)

Q1：網(wǎng)名imath60中的人生哲學(xué)

網(wǎng)名中的「imath」是源于我非常喜歡數(shù)學(xué)，基本上也是全靠數(shù)學(xué)吃了這么多年的飯。

然后「60」的話是我對(duì)自己的一個(gè)勉勵(lì)：希望自己能以六十分的方式去通過，永遠(yuǎn)保持一個(gè)六十分的心態(tài)；無論自己做到什么程度，也就是六十分，還有很多四十分的空間可以去努力。

Q2：安全的定義，什么是安全？

安全是產(chǎn)品的一個(gè)屬性。它的目標(biāo)是保護(hù)我們產(chǎn)品里面有關(guān)信息資產(chǎn)的三個(gè)核心性，也就是業(yè)內(nèi)達(dá)成共識(shí)的所謂CIA三角：保密性（Confidentiality）、可用性（Availability）和完整性（Integrity）。

安全架構(gòu)是保障產(chǎn)品安全的手段，分別有：產(chǎn)品安全架構(gòu)、安全技術(shù)體系架構(gòu)和審計(jì)架構(gòu)。我在MTSC大會(huì)上分享的項(xiàng)目實(shí)踐，是屬于這三個(gè)手段中的“技術(shù)安全架構(gòu)”。

獲取劉元老師在MTSC大會(huì)上分享的PPT：添加播客小助手微信 xiaodaoxiaoxi2021，發(fā)送“數(shù)據(jù)安全PPT”

產(chǎn)品安全是從App的源頭出發(fā)，不依賴于任何的外部系統(tǒng)，而是就App本身做一些安全的產(chǎn)品設(shè)計(jì)。

然后我們會(huì)有獨(dú)立的風(fēng)控或者審計(jì)，這些屬于手段中的審計(jì)架構(gòu)。

我們接手的那些安全類項(xiàng)目，基本上是用以上三種手段，再結(jié)合現(xiàn)在業(yè)內(nèi)比較認(rèn)可的所謂安全架構(gòu)的5A方法論做實(shí)踐指導(dǎo)，來到達(dá)CIA目標(biāo)。

5A方法論

身份認(rèn)證（Authentication）

授權(quán)（Authorization）

訪問控制（Access Control）

可審計(jì)（Auditable）

資產(chǎn)保護(hù)（Asset Protection）

Q3：所參與的數(shù)據(jù)安全項(xiàng)目的啟動(dòng)背景

我們這邊內(nèi)容的業(yè)務(wù)線，在非節(jié)假日的時(shí)候，出現(xiàn)了流量激增，大家就懷疑不是正常的流量：應(yīng)該是有人在抓取我們的東西。

后來我們查了一下，我們這部分的內(nèi)容很快就在其他平臺(tái)上出現(xiàn)了。這些是我們花錢定制的專屬內(nèi)容，但是卻被別人盜取拿去賺流量。

在我加入現(xiàn)在公司之前的兩三年，大老板就已經(jīng)決定要做數(shù)據(jù)安全項(xiàng)目，但是一直沒有找到一個(gè)合適的一個(gè)切入點(diǎn)，上面說的事情也成為我們啟動(dòng)數(shù)據(jù)安全項(xiàng)目的契機(jī)。

算是吃了虧，大家就認(rèn)識(shí)到它的重要性。

Q4：如何預(yù)防內(nèi)容不被盜版的？

想實(shí)現(xiàn)內(nèi)容完全不被抓走，是不可能的。但是我們可以想辦法把（內(nèi)容抓?。┻@個(gè)成本加大，是一種升級(jí)對(duì)抗的策略。

如果你所有App里的數(shù)據(jù)都是明文傳輸?shù)?，別人去抓你的接口，就很容易直接拿走數(shù)據(jù)。那么我們把這部分東西做加密，做了加密之后，會(huì)涉及到加密算法；想要抓取數(shù)據(jù)就要破解一些加密算法，抓取數(shù)據(jù)的成本就會(huì)上升。

哪怕是加密算法暫時(shí)被破解了，算法也會(huì)迭代升級(jí)。通過對(duì)用戶身份，也就是所謂設(shè)備指紋進(jìn)行驗(yàn)簽，看他到底是不是一個(gè)合法的用戶，是否帶有一些風(fēng)險(xiǎn)特征。在命中特征后，可以對(duì)該用戶拒絕服務(wù)，或者返回虛假數(shù)據(jù)。讓數(shù)據(jù)抓取方花了很大成本，得到的都是沒有價(jià)值的東西，從而放棄高投入低回報(bào)的行為。

而且不一定要上算法，前期也可以通過配置項(xiàng)實(shí)現(xiàn)風(fēng)險(xiǎn)監(jiān)控。舉幾個(gè)例子：如果某個(gè)訪問系統(tǒng)的用戶所使用的是安卓手機(jī)，但是操作系統(tǒng)卻是IOS；還有用發(fā)IP的方式進(jìn)行快速高頻的訪問；或者是用我們根本不提供業(yè)務(wù)服務(wù)的海外IP地址訪問——這些都是危險(xiǎn)信號(hào)。

Q5：安全項(xiàng)目人員眾多，如何做溝通？

不要怕吵架。吵架或爭論，其實(shí)也是溝通方式的一種，大家是在以一種看起來比較激烈的方式拉平認(rèn)知。如果是在這個(gè)層級(jí)解決不了的問題，可以往上匯報(bào)，一定會(huì)在某一個(gè)層級(jí)把問題的解決方案確定下來。

我們遇到過跟業(yè)務(wù)部門意見不一致的情況，也有方案被業(yè)務(wù)部門打回的情況。

如果意見不一致，我們給出自己的建議和方案，還是留給業(yè)務(wù)決定是否采納和使用。如果我們的方案的確妨礙了業(yè)務(wù)的正常運(yùn)作，我們也認(rèn)錯(cuò)，并進(jìn)行總結(jié)和改進(jìn)；在一次次迭代和實(shí)踐中，不斷完善和豐富我們的安全防護(hù)體系。

Q6：當(dāng)下測試行業(yè)的挑戰(zhàn)？

就我個(gè)人的認(rèn)識(shí)：測試行業(yè)的對(duì)從業(yè)人員的技能要求會(huì)越來越高；但是大家對(duì)測試的認(rèn)知還沒有改變，還是認(rèn)為測試什么人都可以做。

另一方面測試的天花板相對(duì)于開發(fā)和產(chǎn)品來說，相對(duì)比較低。我認(rèn)識(shí)的很多人，做到測試架構(gòu)后，都會(huì)轉(zhuǎn)型去做研發(fā)效能。無論是研發(fā)效能的架構(gòu)師，還是研發(fā)效能的技術(shù)經(jīng)理。都會(huì)所謂的選擇性的逃離測試這個(gè)領(lǐng)域。這其中最直接的原因之一就是在于收入的差距。

現(xiàn)在常會(huì)聽到“去測試化”，質(zhì)量保證的事情要做，但是不一定要通過點(diǎn)點(diǎn)點(diǎn)的方式，也不一定要社招人進(jìn)來做?？梢酝ㄟ^工具流程的方式進(jìn)行賦能，或者外包出去。

那么問題來了：測試同學(xué)如何做到不被替代

第一是學(xué)習(xí)，不停的學(xué)習(xí)。除了工作之外，每天花出兩個(gè)小時(shí)的時(shí)間放到你的專業(yè)上，看一看整個(gè)行業(yè)在怎么發(fā)展，然后從中挑選方向進(jìn)行深入的學(xué)習(xí)和了解。

第二是多跟大家去交流，很多大佬就在你的身邊。我們交流的人群不用拘泥于測試領(lǐng)域，可以跟開發(fā)聊聊，跟產(chǎn)品聊聊，跟運(yùn)維的同學(xué)聊聊。彼此之間交流之后其實(shí)能碰撞出很多東西。

The? End | 點(diǎn)擊鏈接收聽完整音頻節(jié)目

喜馬拉雅、荔枝FM、小宇宙、Apple Podcast——全網(wǎng)同名