2023 年终总结

今年的回忆录，比以往几年要来得早一些，在奔波忙碌中，2023又接近了尾声。

以前写年终总结，总是离不开工作里的项目，有的时候还因为一些保密性的原因，年终总结写得得也不太顺手。今年就不一样了，自打从腾讯离职之后，工作清闲自在了很多，工作在生活中的占比也少了一些。

如果抛开工作里具体项目不说的话，今年的脉络比较清晰。

首先甲方安全转型还在继续：考证书，换工作。

• 6月：考下了CISSP证书，攒了一些甲方安全转型的理论基础。
• 7-8：在处理搬家的事情。
• 9月：开始找工作，看了一圈新加坡的工作，无果后开始看国内的机会。
• 10-11月：开始找国内的工作，选定新的安全赛道。
• 离职交接，直到现在。

然后是生活上的事情：搬新家，住新房

• 把我爸接到北京住了两个月，北漂少年终于有人照顾了，后来岳母也来北京住了两周，家里有人，体验还是大不一样。
• 今年搬进了自己的房子，生活空间也从60平变到了90平，自己的房子住着固然是舒服，但恋旧的锦旭也怀念租房时候的快乐生活。
• 不交房租之后，感觉生活宽裕了一点（但是还有一万好几的月供啊~~），开始找新的人生意义。

和去年一样，今年也产生了很多新概念：大模型、ASM、BAS，我也进行了一些落地实践。

大模型 & AI技术

大模型去年就开始火了，当时注册了一个账号体验了一下OpenAI的在线聊天，实际用的也少。倒是GitHub的copilot给我的编程提供了很多的便利。可能是因为我比较活跃或者是给哪个开源项目做过贡献，copilot给我开了免费使用的权限。请相信我，copilot是一个绝对值得付费的产品。

今年年后又火了一波，朋友圈里铺天盖地都是大模型的文章，恰逢清华开源ChatGLM-6B，在云平台上租了一些机器做了一些微调的工作（finetune）后斥资买了张3090显卡，在家一顿研究之后，把能力落地到了我开发的在线漏洞平台上，用GPT来做翻译的任务，省去了买翻译API的钱。

之后又用深度学习做了一下CVSS分数的自动预测，通过漏洞的描述信息自动抛出来CVSS的各个维度的信息，进而发现漏洞的风险等级，这个我在腾讯做漏洞响应的时候就想做，但是一直没实施，训练的模型观察一段时间之后感觉效果还不错，对新的漏洞的准确率能有百分之九十以上的准确率。

后来感觉不环保，做一个翻译任务需要把好几G的模型数据从硬盘加载到显存，然后几百万的3090一顿计算之后才能输出翻译后的信息，而且只有翻译的功能，没找到更好的落地场景，遂出掉了GPU，漏洞平台接入CNNVD的自动更新数据也暂时搁置。

不过神龙漏洞平台有可能成为市场上第一个有免费API的漏洞平台，我争取在2023收个尾。^_^

ASM（攻击面管理）

做ASM的初衷是想成为SRC小刷子，想实现大学时候的自动挖洞梦想，一顿操作之后，感觉投入产出比也不高… 接入了AWVS和一些第三方的情报源，监控了上百个的SRC的若干个域名。实现了A公司上线一个公网可访问的域名后，第二天我就能用AWVS扫一遍，并且把漏洞详情发送到我的邮箱里。

但是也真的发现一些厂商的漏洞，把服务器的成本收回来了。

做完之后，感觉收益不高，还有法律合规风险，遂暂时放弃，往产品方向转型。开发了一个线上的小工具，能帮助甲方工程师发现企业的一些风险，不过完成度不高，就不多说了。

BAS（突破与攻击模拟）

今年经济大环境可谓是非常不好，国内的乙方厂商日子也不好过，甚至传出来有乙方安全厂商贷款发工资的传闻，但是国内竟然还真有做BAS的厂商，比如这个叫做 知其安(https://www.zhiqiansec.com/)的厂商，腾讯云SOC上也上线了攻击模拟的工具。我觉得安全有效性验证一定是时代趋势，但是现在这个时间我觉得不太适合，客户的接受度和市场成熟度都还不够。今年我没有BAS上下功夫。

网络空间测绘

今年我尝试使用一些新技术来构造一个新的网络空间搜索引擎。接触到了NATS（一个轻量级的消息队列）和MeiliSearch。NATS很好用基本指哪打哪，MeiliSearch则有很大问题，数据量一大了之后完全抗不住，现在看适合百GB以内的数据检索。

因为资源不够做不到全网的空间测绘，准备做一些小范围的测绘，但是受限于资源和盈利模式，做了可行性研究之后也就暂时搁置了。

除了这些安全新方向之外，我也在找新的增长点。其中一个就是想找找个跨国公司上班，为此我写了我第一份英语简历，在中午遛弯的时候把自己的项目用英语反复倒腾，还约了线上的外教课。奈何国内合适的岗位实在太少，最后找国内外企这个事情也以失败告终了。

今年挖了很多坑，但是说来惭愧，实际能填上的没有几个，归咎于精力也好、资源也好，最终事儿还没成。但是折腾的过程还是充满成就感和技术挑战的，可以当成玩人生Online了 ^_^。

2024年会减少在自己项目上的时间投入，找公司的业务痛点，和公司合作共赢。

除了技术外，今年也读了一些书，思考了一些人生哲理。

首先是生活方式。今年重新看了一遍之前分享过的TED演讲，叫做《Life is easy. Why do we make it so hard?》，评论区里有一个网友分享了一个印度谚语，叫做：“Simple living and higher thinking”，我把它换成了我的微信签名，但是又加了一个 Quick Moving(快速行动)，如果不行动的话怕不是要去寺庙里当和尚了，在一起就是。

Quick moving, Higher thinking, Simple living.

然后学习处理和钱的关系。今年有了一些小积蓄，开始处理我和钱的关系，用大白话来说就是怎么支配家里的钱。从宏观上读了一些经济学的入门读物，对经济的产生和运行规律有了一个大概了解。宏观读物不解决微观问题，实操起来还是记账比较靠谱，于是拉上张美丽开始记账，现在双月记账，基本能够确保家庭支出能在合理范围内，也在某些层面上实现了花钱自由。 ^_^

其他的人生哲理，没有思考出来太多，但是把钱这个东西弄明白了之后，生活中很多事情也就通透了起来。

关于今年还有一些碎碎念

今年有很多朋友结婚，见了很多老朋友，朋友们再聚首，感觉又回到了大学校园里。

今年学会了打麻将，打麻将可以让我松弛下来，而且很容易就心流了，约朋友们打了几回麻将，感觉很不错。

今年做了一个鼻中隔偏曲手术，修复了身体的一个bug，目前鼻子运转良好，通气量大有改善，体检指标除了尿酸稍高之外身体其他部位暂未出现明显异常。

今年我爸买了个车，经过一段时间的练习，在湖南山里也实现出行自由了。我今年骑了很多的摩托车，摩托车里程快达到了1万公里，喜欢这种自由的出行方式。

今年和去年一样，还是感觉到时间不够用。今年写代码的时间有所变短，看书和陪家人的时间有所增加。整体状态积极向上，没有浪费时间的迹象。

如果说对2023还有什么期待的话，我希望能有一个和张美丽的浪漫旅行，结束这个充满挑战，满怀希望的2023。

以及还想对2024说：2024，请对我和我的朋友们好一点~~