我的开源故事：拿到证书是加分项

本期的故事主人公是 Linux Foundation 开源软件学园人才激励计划（开源安全大使类别）获得者高鹏。

开源故事

2023-09-13 625

开源故事，讲述开源人自己的故事。

这是 Linux Foundation 开源软件学园推出的一档访谈栏目，重点分享开源从业者的过往趣事、成长经历，心得体会与开源感悟等一切与开源成长有关的故事。

本期的故事主人公是 Linux Foundation 开源软件学园人才激励计划（开源安全大使类别）获得者高鹏。

迷你简历

姓名：高鹏

职业：安全研究员

喜欢的开源项目：DongTai IAST(https://github.com/HXSecurity/DongTai)，CF (https://github.com/teamssix/cf)，

兴趣爱好：旅游，风景，科技发烧友，安全技术

以下就是Linux Foundation开源软件学园与本期主人公高鹏的对话，也期待与更多开源小伙伴一起来沟通、交流。

1、首先请做个简单的自我介绍。

大家好，我叫高鹏，很荣幸参加这次采访，目前主要从事网络安全行业，常住深圳。

高鹏的猫猫

2、什么时间开始接触开源的，开源给你带来了哪些帮助？

从入行安全开始，接触开源，最开始连GitHub都玩不明白，也不太知道这个站是做什么的，只知道能下载一些软件，后来慢慢的随着学习越来越深入，了解到开源的精神，也看到了这么多开发者自发性的开源自己沥尽心血写出的软件，让我感慨万分，开源其实不仅仅只是为了我个人带来的帮助，对于很多刚入行的初学者，其实都会存在一些信息的闭塞，早期还能见到很多人拿开源软件进行贩卖，其实本质就是信息闭塞导致的，对于我个人和其他的初学者，开发者来说，开源能够促进技术的交流与学习，让初学者接触到新的知识面，开发者有一个交流的平台。

3、有喜欢的开源项目吗，简单介绍一下吧。

洞态IAST

https://github.com/HXSecurity/DongTai
虽然这是我所在职公司的开源产品，但在2年前，我在甲方时就已经开始使用和推动这款产品了，那时这款产品是0.8,0.9的版本，显得非常单调，从UI到功能，但好在漏洞检测能力不错，当时也参考使用过其他的IAST产品，但最终选择了洞态IAST，也算是陪着洞态IAST走过了这么多版本（latest: .14.2），在安全行业商业竞争这么激烈的今天，还能够保持开源IAST产品，提供DevSecOps的IAST落地解决方案，一直耐心的迭代产品，解决跨微服务，RPC等场景下的漏洞检测与微服务上下游关联，创新IAST与黑盒扫描器产品联动等，属实不易，好在洞态IAST团队持之以恒的心态，现阶段收到的客户反馈都相当不错。

CF

https://github.com/teamssix/cf
这款工具是阿里云，腾讯云等六大云的AKSK一键利用工具，这是一位共事很久的同事写的产品，他也带我打过几次红蓝，技术上非常强，推荐这款工具的理由其实很简单，其实这个仓库已经下线，因为一些原因，但从技术上和开源的精神上，给这么多白帽带来了便利和学习交流的机会，现在的线下显得令人唏嘘不已。

js-cookie-monitor-debugger-hook

https://github.com/JSREI/js-cookie-monitor-debugger-hook
这款开源工具主要用来监控、定位JavaScript操作cookie，也是一位共事很久的全栈技术大牛，他的主页也经常更新开源的代码，从他主页的contributions就能看出来。

4、使用过哪些开发工具，给大家推荐几个你喜欢的吧。

自己一直以来在用JetBrains全家桶，因为开源项目作者可以申请专业版1年，Java主要使Go使用GoLang，但也会装一个PhpStorm，因为工作用ldea，Python使用Pycharm，有时会涉及到需要审计PHP代码，或者Debug，也尝试过使用VsCode，由于习惯还是换回了JetBrains全家桶。

5、之后会继续参与开源吗，准备从哪方面入手？

会继续开源的，主要还是以文章和开源代码的形式，希望能帮助到更多的人。

6、你会分享自己的经验吗，一般在哪里分享？

博客：uzzju.com

公众号：uzju的安全屋

看雪论坛：kanxue.com

目前主要会在这三个地方发一些自己写的文章，但由于工作的事情比较多，其实也蛮久不更新了。

7、很多企业会看重证书，你认为证书有必要吗？

证书肯定是有必要的，你可以很强，但需要顺从规则，虽然现实一点说，拥有某一个行业的证书并不能代表你真的能在这个行业平步青云或者对这个技术有很深的深度和广度，但这是一个给自己的加分项，如果时间和资金充裕的情况下，可以考取一些跟自己发展和行业相关的证书。

8、计划之后学习哪个课程？

目前有在学习Kubernetes基础课程(LFS258)，并且学习完后考一个CKA认证，选择这个课程的原因主要是以前有断断续续玩过一段时间K8s，但是没有系统性的学习，选择该课程也是想系统性的学习一下，这套课程从基础开始讲，能让想系统新学习的人更快的接受，巩固基础，并且CKA的认证对于个人来说也是有帮助的。

9、怎么平衡工作和学习生活的，通过继续读书，你将得到哪些帮助？

工作和生活其实不太好平衡，我也经常晚上还在做工作的一些事情，其实这些事情完全可以明天在做，但总感觉拖着不太舒服，我对工作和生活的态度是，适当的休息和放松能让自己在学习和工作时更专注，我一直认为在工作中让一个人8个小时，甚至更长时间一直专注一件事情其实是非常难的，大部分的专注时间可能是在4-5个小时就会感到疲惫，此时如果稍微放松一下，下楼转转弯，会放松很多。

现在偶尔会看一些技术的书，但也是需要的时候会去看，更多的是看大佬们的博客和论坛，现在看的书籍更多是《博弈论》，《经济学基础》，《国富论》，或类似于罗翔老师的《法治的细节》，最近看的比较多的是《中国官僚政治研究》。

高鹏的猫猫

10、除了拥有专业的技术知识，在求职时，还有哪些因素是必要的？

沟通，这可能是很多应届生缺失的，我有面过不少应届生，在沟通上都有很大的坑，情商也占很大部分，另外拥有专业的技术支持当然是必须的，但能把技术描绘抽象讲给不懂技术的人听懂，才是有真正深刻的个人见解，另外是如果是应届生，需要尽早适应工作的环境和与人的关系处理，当然也希望都能找到自己满意和期望的工作。

本年的LF开源软件学园人才激励计划共有以下8个类别，开源安全大使 是LFOSSA人才激励计划8个类别之一，任何热衷于传播、管理和执行网络安全的人员。

无论你的年龄，行业背景，技术程度，只要对技术有兴趣，有热诚，有渴望就有机会入选。入选者可以在Linux基金会开源软件学园中任意选择一门课程学习，并免费参加一次Linux基金会提供的任何认证考试，学习和考试费用由Linux基金会开源软件学园承担。优秀的申请者还会获得Linux基金会开源软件学园颁发的奖项。申请截至日期为2023年10月31日。

请注意：申请表是入选本计划的唯一准则，所以不要吝啬您的开源的热情，真诚填写表单，增加获奖可能。

2023年的故事，等着你来报名。

立即点击 阅读原文 申请 Linux 基金会开源软件学园人才激励计划！