作者cklonger (22)
看板Soft_Job
標題[閒聊] 兩種價值觀的撞擊
時間Sat Oct 29 19:36:40 2011
發生在昨天下午在公館十大,國際大樓的研討會裡
這個研討會有三個講者
某國外資安工具代理商、十大資管系的查助理教授、祖母科技CEO
他們依序上台發表自己的成果
代理商講的內容
根本像是產品發表會,提了一下SSDLC以後
開始把自己家代理的產品 跟SSDLC結合
SSDLC每個階段都拿出一套方案
最後提一下 將來要把這個工具放到雲端上 賣服務
查助理教授發表的東西
基本上就是把SSDLC用ITIL的規範 寫出一組方法跟控制措施
不過它的實驗樣本太少 只有四個專案 也沒有列這四個專案照
它的方法run的好壞結果
他講的內容比較重要的只有
不要想只用一套工具就做好源碼檢測的工作
看起來
這會是一個boring的下午
但是祖母科技ceo像變魔術把場子熱了起來
首先他開始吹,他們公司最近發表了很多超牛的blog 文章
上了許多CNN 紐約時報的報導
搶先破解了許多駭客的攻擊手法 (真的很牛 例如mysql.com那篇)
介紹這幾年駭客攻擊方法的趨勢
順便吹一下賽鐵公司仰賴他們技術與合作的現況
賽鐵買了最強的黑箱測試公司
但是那間黑箱測試公司做的東西輸給祖母科技作的產品
他藉著自己公司的成功例子
攻擊第一個講者-代理商的產品 或著說依賴代理的行為
我沒有錄音 只能大概講一下祖母CEO的想法
首先代理商的工具看起來好像替開發人員處理好了一切
但是照OWASP對源碼檢測的研究
工具掃的效果是最低的 後面至少還有三層的工作(如code review)
那工具會出一堆報表 但是這些報表根本沒解決問題
CEO攻擊的層次慢慢提高
開始講一些 Dream the impossible
我們在學校受了那麼多資料結構、演算法的訓練
出社會5-6年就忘光,去依賴別人寫的工具
為什麼不能像他一項用自己開發的技術
強到賽鐵要跑來買他們的服務
他們面對的問題是別人從來沒解過
作的產品世界上沒有其他公司比的上
他們的產品賺錢非常好賺 因為軟體賣人是算人頭計價
而且時間會到期 資安的軟體又要不停的更新
他想不通國內有那麼多軟體人才 卻都跑去依賴代理工具
不像他去賺外國的錢 而是把錢給外國大廠賺
(中間CEO有介紹他自己的生平與抱負 像打死他都不去硬體廠寫driver)
我的文詞很拙劣,所以無法清楚描述CEO,演講時散發出來的感染力
他講述他的願景時
你彷彿可以從他的眼中看到夢想在燃燒
他講到他們公司的成就時
你會覺得他是一個巨大的火炬 (像古力非斯)
燃燒生命放出巨大的光與熱
如果你是一個有夢想,想做出超越自己的某項東西的人
祖母科技的CEO給我的感覺,是一個很好的leader
-------------------------------------------------------------------------
CEO講完以後是三個講者的Q&A
沒想到Q&A時間還有更好玩的插曲
研討會主持人是十大隔壁某大資工系的蔡教授
他有先替代理商圓了一下:
軟體的domain太大,
不是每個公司都有成本去自己寫每個工具
所以會去買工具
但是此時第一個講者 代理商的副總已經不見了
他說有會要開找了一個儀表堂堂的部下來代打
但是輪到代理商發表意見時 代打者很努力的想要
抵銷祖母科技CEO對我們的影響(洗腦)
努力建立他們產品的正面形象
他先自我介紹,說他不是非資工本科出身
進了代理商公司以後慢慢做了不少專案
他們的工具也幫了不少人也有像台積電的大公司買來用
但是代打者的努力是失敗的
因為有核心技術跟依賴代理工具之間的距離實在差太多了
此外台積電強的地方是在半導體技術,不是在軟體
看不出那個工具的貢獻
Q&A時,代打者的處境真的很淒慘,他們又坐在一起
就好像尼安德塔人旁邊,卻坐一個現代人的菁英
-----------------------------------------------------------------------
對於依賴工具的現象,我個人的心得是
依賴工具跟使用工具是不一樣的兩件事
台灣軟體業已經很嚴重的走到"依賴代理工具"這邊
此外祖母科技的CEO似乎已不把代理商當作主要敵人
因為他們已經走到國際,他認為他們主要的對手是以色列
--
我對祖母科技CEO的評價,只是根據他們公司的表現
以及這場演講給我的觀感,如果有他們公司員工
認為我被騙了,例如CEO其實是另一個郭董
歡迎爆料指正
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.230.71.131
※ 編輯: cklonger 來自: 61.230.71.131 (10/29 19:38)
→ final01:祖母科技是哪家阿 我看看 10/29 19:51
→ howshou:為什麼要改成 "十大"? 10/29 19:52
→ howshou:沒去那研討會,不過這三個單位我都猜得到是誰。 10/29 19:54
推 atpx:馬賽克打成這樣看不出來在講誰@@ 10/29 20:08
他們沒給我薪水 我不想變成幫他們打廣告
→ howshou:祖母科技賣的東西也會產生報表,也要人去review結果吧 10/29 20:11
祖母科技報表那段我沒全打出來
那邊接前面著一個現場聽眾問的問題
代理商的工具偵測到問題時
只會提供範例通解 但是祖母ceo認為 souce code都掃了
都compile了 應該直接告訴使用者code怎麼改 改哪裡
例如
代理商的工具認為只要能夠改sql
就一定會有sql injection
提供的範例code也是只有prepared statement
也沒有跟黑箱測試結果接起來
今天我要是用jpa
傳的東西是鎖成integer 進去
工具還是還是會認為有sql injection
推 ptta:祖母科技指的是『阿碼科技』 10/29 20:33
→ zxcv4321:菜鳥就該有夢想 不然還要你們做啥 10/29 20:50
※ 編輯: cklonger 來自: 61.230.71.131 (10/29 21:18)
推 john0312:那個演講者有逛這個版喔... 而且帳號就是他們公司名稱... 10/29 21:11
→ john0312:話說第二個講者也是鄉民, 不過會不會出現在這裡就不知道. 10/29 21:13
→ francej:國外的產品也沒甚麼不對..甚至功能更強也不一定 10/29 21:17
→ francej:主要是研討會主辦單位請不到國外資安公司的CEO (or RD) 10/29 21:18
→ francej:來罷了. 只找了個不懂核心技術的台灣代理商... 10/29 21:19
→ cklonger:洗腦要請對人阿 10/29 21:21
※ 編輯: cklonger 來自: 61.230.71.131 (10/29 21:24)
→ final01:祖母喔 感覺技術還不錯 不過好像在外面認識的都是trend 10/29 21:54
→ final01:linux掛的 10/29 21:54
推 kkc0828:"代理商"被"開發商"狠批是很正常的,後面的可是經過無數實 10/29 23:04
→ kkc0828:戰訓練出來的,技術底子一看就知道。 10/29 23:05
推 SHOOTA:以色列真的有不少好公司 :) 10/29 23:23
→ howshou:我個人覺得存脆從生意人的角度來看,代理商與技術開發商 10/30 00:54
→ howshou:並沒有誰比較高明,拿誰的技術比較高來論輸贏似乎 10/30 00:56
推 avhacker:立刻打聽了一下前員工,果然有類似另一個郭董的講法出現 10/30 00:58
→ howshou:有點義氣之爭了。 10/30 00:58
→ Winggy:工具掃的效果是最低的 結果自己還是做工具不是? 10/30 01:05
→ iincho:同場互幹這樣不是很有禮貌.. 10/30 02:00
推 amazed312:這好像種米的農夫 嗆賣米的商人沒有生產力一樣 10/30 03:16
推 Ageis:他們家的產品以前常常掃到一半就當掉,現在不知改了沒 10/30 03:17