#588 杂事

2022-04-28

请赐予我力量,全力改变那些可以改变的事情,平静接受那些无能为力的事情,拥有智慧区分这两者。

  1. 2022 年已经过去三分之一,希望今年的年度计划能够落实。年初定的五个主要目标:

    1. 深挖现有技术栈
    2. 公司业务熟稔于心
    3. Golang 达到和 Python 相同的掌握程度
    4. 英语和数学,达到大学时期要求的水平就行
    5. 个人项目

    目前全部毫无进展。要是再不抓紧,年底又会觉得一年过去啥事都没有做成。

  2. 技术债越积越多, 不知道何年何月能补齐。难道是退休的时候?
    要是我可以不工作也有工资拿, 半年时间, 应该够了吧。
    总结已有知识,查漏补缺,然后对想要了解的方向进行一个全面深入的学习。
    顶多一年...应该可以了吧...也许。
    如果工作中学不到什么,单靠挤一点空闲时间自学确实有压力。

  3. 希望收入跑赢通胀, 然后房价便宜一点。
    不贪心, 打个七折 (➘ 30%) 就够了。
  4. 二胎计划
  5. 希望新冠能在今年夏天结束。
  6. 我想要工作中能有更多机会锻炼自己的表达能力。
    我思考过这个表达能力的培养问题,其实质应该是应急情况下的思维能力问题,我习惯于安静的环境思考问题。
    在向别人阐述自己观点,或者一般的技术交锋过程中,需要思维能够更加活跃,跟上话题发展的节奏。

    PS: 我说的表达能力就是普通的语言能力,不是社交能力。我对社交并不热衷,也没想过那么活蹦乱跳。作为一个技术人员,做好分内工作就行,其他事情爱咋咋地。

#585 墨菲安全 CLI

2022-04-25

OSCHINA 上听说墨菲安全, 是一个 Golang 写的 cli 工具, 收集项目的依赖信息提交到服务器端, 查询可能的安全风险。
根据官方文档,目前支持 Java(maven,gradle),Golang(go mod),Node(npm,yarn),Python(pip)语言。

本文档就是简单的试用一下。

总结:我感觉挺好的,一般来说对于依赖我们都不上心,其实是有很大安全风险在里面。我觉得应该对线上业务的依赖都应该有严格的审查。
如果是安全方面的需求没有那么强烈,用这个工具可以为依赖的管理提供一些帮助。
可以考虑和 CI/CD 继承,如果有安全风险就发出告警信息。

#581 办公网络中的安全问题

2022-04-14

同事发来消息,说是我的电脑经过安全扫描,判断有风险。提了以下几条改进意见:

  1. SMB 共享,风险高,希望限制访问,并强制执行消息签名。
    改进:其实现在我很少使用 SMB 共享了,直接关闭了事。
    PS: 其实在用 SMB 共享,所以重新开启 smbd 并禁止匿名访问。

  2. 开启了 IP 转发,风险中,建议关闭。
    IP 转发功能对我的工作是非常必要的,不能关闭
    之前的文章, 2021/05/09, VPN 与 NAT 有讲过这个问题。
    改进:调整 iptables 规则,only ACCEPT 指定链路 FORWARD

  3. 3Proxy HTTP 代理(端口 10809)只做透明请求远程溢出,风险高,建议升级 3Proxy 版本。
    我没有安装什么 3Proxy, 这个端口是其他 HTTP 代理服务的端口(不排除底层使用了 3Proxy)
    改进:我直接将其改成监听 127.0.0.1 了事

#579 如何面试程序员

2022-04-13

之前写的关于面试的文章都是站在求职者的角度,今天这一篇是站在招聘者的角度。工作一些年之后,总是会偶尔参与到公司的招聘流程中。在做面试官之后,应该如何来考察一个开发者的工作能力呢?