博客首页|TW首页| 同事录|业界社区
2010-03-24

注意:每个层次的知识都是渐增的,位于层次n,也蕴涵了你需了解所有低于层次n的知识。

 

计算机科学 Computer Science
  2n (Level 0) n2 (Level 1) n (Level 2) log(n) (Level 3) Comments
数据结构 不知道数组和链表的差异 能够解释和使用数组,链表,字典等,并且能够用于实际的编程任务。 了解基本数据结构时间和空间的折中,比如数组vs 链表,能够解释如何实现哈希表和处理冲突,了解优先队列及其实现。 高等的数据结构的知识,比如B-树、二项堆、斐波那契堆、AVL树、红黑树、伸展树、跳跃表以及前缀树等。  
算法 不能够找出一个数组各数的平均值(这令人难以置信,但是我的确在应聘者中遇到过) 基本的排序,搜索和数据的遍历和检索算法。 树,图,简单的贪婪算法和分而治之算法,能够适度了解矩阵该层的含义。 能够辨识和编写动态规划方案,良好的图算法知识,良好的数值估算的知识,能够辨别NP问题等。 Working with someone who has a good topcoder ranking would be an unbelievable piece of l****!
编程体系 不知道何为编译器、链接器和解释器。 对编译器、链接器、解释器有基本的了解。知道什么是汇编代码以及在硬件层如何工作。有一些虚拟内存和分页知识。 了解内核模式vs用户模式,多线程,同步原语以及它们如何实现,能够阅读汇编代码。了解网络如何工作,了解网络协议和socket级别编程。 了解整个程序堆栈、硬件(CPU+内存+中断+微码)、二进制代码、汇编、静态和动态链接、编码、解释、JIT(just-in-time)编译、内存碎片回收、堆、栈、存储器编址…  
软件工程 Software Engineering
  2n (Level 0) n2 (Level 1) n (Level 2) log(n) (Level 3) Comments
源码版本控制 通过日期备份文件夹 VSS和初级的CVS/SVN用户 熟练地使用CVS和SVN特性。知道如何分支和归并,使用程序库补丁安装特性等 有分布式VCS系统的知识。尝试过Bzr/Mercurial/Darcs/Git  
自动化编译 只知道在IDE下编译 知道如何编译在命令行下编译系统 能够安装一个脚本构建基本的系统 能够安装一个脚本来构建系统并且归档,安装程序,生成发布记录和给源码控制中的代码分配标签。  
自动化测试 认为所有的测试都是测试员的工作。 能够编写自动化的单元测试,能够为正在编写的代码提出良好的测试用例。 按照TDD (Test Driven Development)方式编写代码。 了解并且能够有效自动化安装,载入/性能和UI测试  
程序设计 Programming
  2n (Level 0) n2 (Level 1) n (Level 2) log(n) (Level 3) Comments
问题分解 只有直线式的代码,通过复制粘贴来复用 能够把问题分散到多个函数中 能够想出可复用的函数/对象来解决大题的问题 使用适宜的数据结构和算法,写出通用的/面向对象的代码来封装问题的易改变的层面。  
系统分解 N想不出比单一的文件/类更好的层面 如果不在同一平台或没采用相同的技术,能够把问题空间和设计方案分解。 能够设计跨技术/平台的系统。 能够在多个产品线和与外部体系一体化中虚拟化和设计复制的系统。同时也能够设计支持系统监视、报告、故障恢复等。  
交流 不能向同伴表达想法/主意。匮乏拼写和语法的能力。 同伴能了解你在说什么。有良好的拼写和语法能力。 能够和同伴进行高效的交流 能够使用清晰的方式了解和交流想法/设计/主意/细则,能适应每种环境的交流 This is an often under rated but very critical criteria for judging a programmer. With the increase in outsourcing of programming tasks to places where English is not the native tongue this issue has become more prominent. I know of several projects that failed because the programmers could not understand what the intent of the communication was.
同一文件中代码组织 同一文件中组织没有依据 按照逻辑性或者易接近的方法 代码分块和对于其他源文件来说是易于是释,引用其他源文件时有良好的注释 文档头部有许可声明,总结,良好的注释,一致的空格缩进。文档外观美观。  
  2n (Level 0) n2 (Level 1) n (Level 2) log(n) (Level 3) Comments
跨文件代码组织 没够想过给代码跨文件组织 相关文件按文件夹分组 每个物理文件都有独立的目的,比如一个类的定义,一个特性的实现等。 代码在物理层组织紧密,在文件名上与设计和外观相匹配,可以通过文件分布方式洞察设计理念。  
源码树组织 一切都放在一个文件夹内 初步地将代码分散进对应逻辑的文件夹。 没有循环依赖,二进制文件,库,文档,构建,第三方的代码都组织进合适的文件夹内。 源码树的物理布局与逻辑层次、组织方式相匹配。可以通过目录名称和组织方式洞察设计理念。 The difference between this and the previous item is in the scale of organization, source tree organization relates to the entire set of artifacts that define the system.
代码可读性 单音节的名称(在国内应该是那些类似用汉语拼音命名的习惯) 对文件、变量、类、方法等,有良好的命名。 没有长函数、注释解释不常规的代码,bug修复,代码假设。 代码假设验证使用断言,自然的代码流,没有深层嵌套的条件和方法  
防御性编码 不知道这个概念 检查代码中所有的参数,对关键的假设进行断言 确保检查了返回值和使代码失败的异常。 有自己的库来帮助防御性编程、编写单元测试模拟故障  
  2n (Level 0) n2 (Level 1) n (Level 2) log(n) (Level 3) Comments
错误处理 只给乐观的情形编码 基本的代码错误处理,抛出异常/生成错误 确保错误/异常留在程序中有良好的状态,资源,连接,内存都有被合适的清理。 在编码之前察觉可能出现的异常,在代码的所有层次中维持一致性的异常处理策略,提出整个系统的错误处理准则。  
IDE IDE大部分用来进行文本编辑 了解其周围的接口,能够高效地通过菜单来使用IDE 了解最常操作的键盘快捷键 编写自定义宏  
API 需要频繁地查阅文档 把最频繁使用的API记在脑子里 广阔且深入的API知识。 为了使实际任务中常用API使用更加便捷,编写过API的上层库,填补API之间的缺口。 E.g. of API can be Java library, .net framework or the custom API for the application
框架 没有使用过主平台外的任何框架 听过但没用过平台下流行的可用框架 在专业的职位中使用过一个以上的框架,通晓各框架的特色。 某框架的作者  
  2n (Level 0) n2 (Level 1) n (Level 2) log(n) (Level 3) Comments
需求分析 接受给定的需求和代码规格 能对规格的遗漏提出疑问 了解全面情况,提出需要被规格化的整体范围。 能够提出更好的可选方案,根据经验的浮现给出需求  
脚本 不具备脚本工具的知识 批处理文件/shell脚本 Perl/Python/Ruby/VBScript/Powershell 写过并且发表过可重用的代码  
数据库 认为Excel就是数据库 知道基本的数据库概念,规范化、ACID(原子性Atomicity、一致性Consistency、隔离性Isolation、持久性Durability)、事务化,能够写简单的select语句 能够牢记在运行时必要查询中设计良好的规范化数据库模式,精通用户视图,存储过程,触发器和用户定义类型。知道聚集与非聚集索引之间的差异。精通使用ORM(Object Relational Mapping对象关系映射)工具 能做基本的数据库管理,性能优化,索引优化,编写高级的select查询,能够使用相关sql来替换游标,理解数据内部的存储,了解如何镜像、复制数据库。知道两段数据提交如何工作  
经验 Experience
  2n (Level 0) n2 (Level 1) n (Level 2) log(n) (Level 3) Comments
专业语言经验 命令式语言和面向对象语言 命令式语言,面向对象语言和说明型语言(SQL),如果了解静态类型vs动态类型,弱类型vs强类型则有加分 函数式语言,如果了解延缓求值,局部套用函数,延续则有加分 并发语言(Erlang, Oz) 逻辑语言(Prolog)  
专业平台经验 1 2-3 4-5 6+  
专业经验年龄 1 2-5 6-9 10+  
领域知识 没有该领域的知识 在该领域中曾经至少为一个产品工作过 在同一领域中为多个产品工作过 领域专家。在该领域设计和实现数种产品/方案。精通该领域使用的标准条款和协议  
学识 Knowledge
  2n (Level 0) n2 (Level 1) n (Level 2) log(n) (Level 3) Comments
工具知识 仅限于主要的IDE VS.Net, Eclipse等) 知道一些流行和标准工具的备选方案 对编辑器、调试器、IDE、开源的备选方案有很好的了解。比如某人了解大多数Scott Hanselman的威力工具列表中的工具,使用过ORM工具。 实际地编写过工具和脚本,如果这些被发布则有加分  
语言接触 命令式语言和面向对象语言 命令式语言、面向对象语言和说明型语言(SQL),如果了解静态类型vs动态类型、弱类型vs强类型则有加分 函数式语言,如果了解延缓求值、局部套用函数、continuations (源于scheme中的一种高级控制结构)则有加分 并发语言(Erlang, Oz) 逻辑语言(Prolog)  
代码库知识 从来没有查询过代码库 基本的代码层知识,了解如果构建系统 良好的代码库工作知识,实现过几次bug修复或者完成了一些细小的特性 实现了代码库中多个大型特性,能够轻松地将多数特性的需求变更具体化,从容地处理bug修复。  
下一代技术知识 从来没听说过即将到来的技术 听说过某领域即将到来的技术 下载过alpha preview/CTP/beta版本,并且读过一些文章和手册 试用过预览版而且实际地构建过某物,如果共享给其他人的话则有加分  
  2n (Level 0) n2 (Level 1) n (Level 2) log(n) (Level 3) Comments
平台内部 对平台内部毫无所知 有平台基本的内部工作的知识 深度的平台内部知识,能够设想平台如何将程序转换成可执行代码。 编写过增强平台或者为其平台内部提供信息的工具。比如,反汇编工具,反编译工具,调试工具等。  
书籍 菜鸟系列,21天系列,24小时系列,蠢货系列… 《代码大全》,《别让我思考》, 《精通正则表达式》 《设计模式》,《人件》,《代码珠玑》,《算法设计手册》,《程序员修炼之道》,《人月神话》 《计算机程序设计与解释》,《事务处理:概念与技术》,《计算机程序设计模型》,《计算机程序设计艺术》,《数据库系统导论》 C.J Date版,《Thinking Forth》 ,《Little Schemer》(没找到其中译本)  
博客 听过但是从来抽不出空去接触 阅读一些科技/编程/软件工程的博客,并且经常的收听一些播客 维护一些博客的链接,收集博主分享的有用的文章和工具 维护一个在编程方面,分享有个人见解和思考的博客  

金山卫士,360安全卫士,相似的名字,相似的功能,相似的市场定位,引发的不仅是一场激烈的近身肉搏战,更是2010年杀毒市场硝烟再起的端倪,新一轮的洗牌即将上演。

两个卫士同台竞争

3月8日,国内反病毒领域的三驾马车之一,金山公司宣布推出一款名为金山卫士的安全产品,这款与360安全卫士有着类似名字的产品,具备木马病毒检测、修补系统漏洞、清理恶意插件和修复IE等功能,而这些功能,也几乎都是早先进入这个市场的360安全卫士中吸引用户的热点功能。金山的这一举动,显然在安全领域引起了极大的关注。从某种意义上来说,依靠推出一款与360安全卫士相同的产品,金山将安全市场带入了一场新的战争之中。

金山毒霸在当年进入杀毒市场时的场面,其实与今天的360颇有相似之处,金山毒霸通过长时间的免费测试版,不仅吸引来众多用户,还提升了软件的稳定性。当金山毒霸成为能够和江民、瑞星抗衡的第三方势力后,才开始走向收费。

而在今天,国内安全市场中风头最劲的显然是360,360的免费模式,显然撼动了许多传统杀毒厂商现有利益。依靠一种简单、原始但是有效的补丁修复等几个安全功能,短短两年时间,360安全卫士就牢牢地吸引住了用户。加上“免费”这个无法抵御的诱惑与杀手锏,几乎所有的传统安全厂商在这场由360制定规则的战争中都显得异常被动。

时至今日,国内的安全厂商仍然在争论杀毒是否应该付费,然而现实是,依靠免费概念的360,在杀毒市场不断攻城略地,市场占有率急速攀升。因此如何摆脱360的魔咒,摆脱360通过安全卫士构筑的防线,成了其他杀毒软件公司能否在市场中扳回一局的关键。

在金山推出金山卫士前,腾讯公司也已经开始进入这个市场。在国内,几乎市场中每诞生一个有希望的产品领域,腾讯最终都可能会出现。当安全卫士这个新兴且技术门槛不高的市场火爆后,腾讯又一次出现在市场之中,QQ医生迅速从IM软件中的一个密码保护模块变身成了一个款精简的360安全卫士。但腾讯的战线注定了QQ医生目前还不会成为腾讯最关注的产品,它只是腾讯众多棋子中的一个,安全软件对腾讯而言,是否拥有似乎比是否改变格局更重要。

而且在众多用户的潜意识中,腾讯本来就是一款不依靠软件收费的公司,因此QQ医生引发的关注并不如金山卫士这般轰动。作为传统杀毒软件厂商重要力量之一,金山推出一款和360安全卫士极其类似的产品,这究竟意味着什么呢?

静观其变不如主动出击

回顾国内杀毒市场的风云变化,在金山卫士诞生前,也曾有多家传统杀毒软件厂商推出过免费的安全软件。瑞星的卡卡几乎是伴随着360安全卫士的一起推出的,但瑞星卡卡在某种程度上只是瑞星为了防止自己的用户被360安全卫士拉拢走,而没有下定决心掀起一场面对面的较量,因此并没有从根本上改变360安全卫士迅速壮大的局面。

更令国产杀毒软件厂商紧张的是,360不仅通过免费概念壮大自己,还在国内杀毒市场中引进了诸多的国际竞争对手。卡巴斯基几乎是伴随着360的免费战略一夜之间走红的,而Nod32似乎也找到了进入中国市场的最好跳板,它们在中国市场瞬间寻找到了巨大的用户群。几乎在很短的时间内,国内的杀毒厂商不得不去面对这样一个战场:依靠免费馅饼吸引来众多用户的360,通过推广合作,在市场中引来新的竞争者,开始蚕食国内厂商的收费市场。

不过此时国内厂商仍然没有太多的本质变化,因为从技术角度而言,360安全卫士终归是一款不能够杀毒的免费辅助工具,并不能对杀毒软件市场构成根本的威胁。此时包括金山在内的众多公司,也推出了免费的安全辅助工具,例如金山清理专家,有相同的产品,阻止用户因为功能差异而流失。可以说,这个阶段,多数安全厂商采取的都是静观其变的策略。

但新游戏的规则制定者显然并没有满足于此,在安全辅助工具360安全卫士已经颇具规模后,360不再满足于仅仅成为这个市场中的配角,在和罗马尼亚的BitDefender杀毒公司建立合作后,360终于推出了自己的免费杀毒软件,并且开始投入巨资在媒体中广告宣传。

市场又一次发生了根本性的变化,而且这种变化时许多杀毒厂商所不能够承受的。面对这种局面,包括国内厂商似乎只有两种选择,要么继续坚守收费策略,慢慢地等待用户的流失。要么将现有产品免费,继续按照对手的规则出牌。无论哪种选择,都是过于被动甚至看不到希望的道路。

而金山卫士的出现,显然给出了另一个答案,通过一种主动出击的方式,将战火引向360赖以成名的市场中,直接和360展开正面的竞争。应该说,金山卫士是现阶段对360打击最大的产品。功能和心态上的趋近,无疑在市场上让用户有了一种除360之外的选择。通过这种主动出击,金山卫士即便无法撼动360安全卫士的地位,也可能顺利地成为市场中此类软件的第二名,而这意味着金山卫士已经取得成功。

安全领域新一轮混战已经上演

无论在媒体上360表现的如何大度,都不能够遮掩金山卫士对360的打击。由于功能和形态上的趋近,金山卫士的推出必然将再次改变杀毒市场中的竞争格局,此前市场中360安全卫士一直没有对手,金山显然已经给360制造了一个对手。

没有对手前,360安全卫士可以依靠绝对的用户群和没有竞争性产品,通过用户量和广告取得不菲的收益,但是金山卫士的出现很可能会瓦解360安全卫士的用户群,因为相对于目前依靠广告等挣钱的360而言,金山卫士从金山毒霸收费用户那里仍然能取得稳定的现金流,提供一个正如我们现在看到的,0广告的安全软件,一旦用户流失分化,就会动摇360目前的免费盈利模式。

金山推出金山卫士之后,很可能会打破传统杀毒厂商行业内的僵持局面,最可能出现的就是接下来的这一段时期内,国内传统杀毒软件厂商会纷纷转型,开始向互联网免费模式摸索。从市场现有的免费杀毒软件发展来看,从2010年开始各个传统杀毒软件厂商,已经开始纷纷部署自己的免费安全软件,国内的瑞星推出了卡卡,江民推出了安全专家,安天实验室推出了锐甲安全中心。

随着厂商对于免费接受程度和市场的竞争,这些已经推出了免费杀毒软件的厂商,在未来如果也加强免费软件的开发力度的话,那么360很可能会遭遇到众多厂商围堵的困境。毕竟对于如今天天在央视做广告的360而言,用户群的严重分化会导致广告等一系列收入的大幅度下滑,最终导致的很可能是360的风险投资商资金与信心崩溃,因为没有人可以这场永远只投入却看不到胜利的战争之中。

据悉,金山已经将金山毒霸分立为独立子公司,并开始了战略转型的前奏。而前不久,拥有庞大用户群体的腾讯也在QQ医生上投入了巨资,招兵买马,并且通过向用户强推QQ医生导致了和360的冲突,如今金山卫士的加入,很可能吹响的是未来国内杀毒软件厂商在免费杀毒战争中的第一声号角。

2010-03-12

近日,谷歌入侵事件再次成为热点,而此前对此问题,国内唯一发布了有关分析报告的安全企业安天实验室,记者为此采访了分析报告的执笔者之一安天副总工程师、安天CERT负责人李柏松。

记者:请问安天1月26日发布的《多家企业网络入侵事件传言的同源木马样本分析报告》实际就是指谷歌等国际企业被入侵的事件么?为什么报告中所提十分隐晦,没有提及任何企业的名字,是有某种压力么?

李柏松:报告中没有提及具体企业名称有两个原因。首先,传闻中的企业没有一家在公开的官方渠道承认自己受到了入侵。其次,我们进行的是样本同源性分析,只能根据公开资料判定所捕获到的样本与事件宣称的样本来源,但无法前推到每个样本对应的第一场景在哪里。因此我们使用了“多家企业网络入侵事件传言”这一语汇,同时明确分析的是“同源木马样本”。我们觉得这样是谨慎和严肃的。

记者:你们的报告很长,而且其中部分内容不太容易被网民理解,能最简要概括一下攻击者的方法么?

李柏松:基本可以概括为,短时间内集中使用客户端软件0DAY漏洞注入木马,造成内网终端被渗透;使用开源网管工具改造为后门进行进一步活动;使用免费二级域名为一级控制跳板,每一组不同的样本对应一个不同的二级域名作为跳板。

记者:大概有多少组样本?

李柏松:从根据各厂商资料的汇总来看,有不少于24组样本。

记者:你觉得有关攻击者有非常强的0DAY漏洞分析挖掘能力么?

李柏松:目前的情况看,只能说攻击者在第一时间集中的使用了0DAY漏洞,但在地下经济比较发达的现实背景下,0DAY的买卖和交易是比较普遍的。一些合法的安全企业也在收购漏洞,比如类似美国CoreSecurity、Idefense,英国的Qualys等公司都公开的收购漏洞。瑞典的WabiSabiLabi是一个漏洞交易平台。加上各种新闻组、安全研究的IRC等的交流,都会使漏洞的流向呈现出一些不确定性。使用者和挖掘者之间,往往难以追索到必然的关联。

记者:安天的报告似乎没有给出倾向性结论?

李柏松:这篇报告确实完成的比较仓促,但应该说客观的解释了有关攻击和病毒的工作机理,理清了样本之间的关联,给出了用户对应的安全建议。此外,我们还特别更新了主机安全配置建议文献。作为反病毒企业的优势就是可以利用自身的捕获体系和国际交流机制尽快获取样本,之后对其进行全面分析,这就是反病毒工作的原点和发力点。反病毒厂商也很难有超出样本分析以外的方法和资源体系,超出这个范围,就只能是妄加臆断了。

记者:但在震荡波病毒爆发后,安天曾明确认为病毒作者位于德国,而且几天后作者真的在德国被捕了。

李柏松:当时对震荡波病毒的判断正确的原因主要是判定出了震荡波和网络天空病毒的同源性。而而且网络天空病毒流行的时间较长,版本众多,可以追踪的线索也比较多。其作者在德国有一定的佐证。但当前,网络安全的形势更加复杂化,包括木马的代码等资源被广泛买卖交易,大量资源被公开或者有偿的分享,代码的同源性判断对于地缘追踪的价值大大降低。比如这次漏洞采用的后门是AT&T的前开源网管工具项目VNC,但肯定不能说攻击和AT&T存在某种关联。05年和之前的很多有效的样本朔源方法,在当前情况下都不再适用了。

记者:如何看待目前国外报道攻击指向两所国内学校的结论。

李柏松:我目前只是看到了新闻报道,目前也没有相应的、比较负责任的配套分析被公开。从当时我们自己的样本分析来看,我们分析出的域名加上国际上各兄弟厂商分析出的域名中,大部份域名指向已经被服务商屏蔽到本地地址,但尚未被屏蔽少数域名的IP指向分布到了不同的国家,其中包括了美国、荷兰等等。从我们过去分析的大量木马样本来看,采用2级域名进行指向跳转是一种比较典型普遍的攻击方法,而一但入侵完成后,修改域名指向到无关IP,也是屡见不鲜的典型干扰追踪手段。从大量分析也可以看到,很多木马采用的是多级控制机制,如果没有全面的国际协作机制,很难找到其真实的控制原点。

记者:我们注意到安天在赛门铁克误杀微软等引发社会关注的安全事件后,都发了分析报告。这是一种传统么?

李柏松:我们觉得安全厂商有3种责任,即提供合格的产品、良好的服务和客观的信息。这只是履行责任的过程吧。

记者:安天发布分析结论会遇到一些干扰么?比如赛门铁克误杀微软事件,是否国内民意更期望后门是存在的,而微软则是希望澄清的。因为曾经有声音说过,安天当时关于误杀的分析报告有利于微软。

李柏松:每个人、每个团体都会有自己的立场倾向。但技术研究必须尊重客观事实、讲求科学规律。我们需要做的是分析实际的情况,并依据事实做出负责的分析,这是不可以动摇和妥协的。

记者:但我们在本次相关分析报告报告的结论部分中也看到一些很感性的语言,而且似乎对整个网络安全的前景看的悲观。

李柏松:对于未来我们从来都是乐观的,而对用户和网民的关切是网络安全工程师的基本情感。