从“挂科大王”到网络安全布道者，云舒的那些“面壁”时刻

作者|杨阳嘉宾|云舒

出品| 《新程序员》编辑部

6年前，云舒离开阿里，他引用陈胜的《燕雀安知鸿鹄之志》引发争议。 六年来，他很少发声，即使是在他原本知道的阵地上也只偶尔更新； 六年后，我们会再次追踪。

到底是什么？ 成就了如此厚重的网络安全“云之神”吗？ 他被误读的经历背后，有哪些鲜为人知的故事？ 网络安全20年，他有什么最新的实践和思考？

在这里，凭借他的学习、工作、创业经历，走近网络安全的传播者云舒的人生，了解他对网络安全领域的独特认知。

魏兴国(云舒)，马安科技创始人兼CTO，原阿里巴巴集团资深安全专家

我想做计算机，但是选错了专业怎么办？

“我想做计算机，但是弄错专业了怎么办？ ”

云舒给的回答是：“选择爱，义无反顾。”

我记得2000年，互联网泡沫席卷了世界。 当时的中国刚刚诞生了如今家喻户晓的科技三大巨头——腾讯、阿里、百度。 它们与搜狐、网易、新浪共同开启了“中国互联网1.0”时代。

此时的云舒刚进入大学校园，第一次接触电脑的他发现：“世界上竟然有这么有趣的东西。” 但他的“玩艺儿”不是沉迷于网络游戏，而是探索网络世界背后的“神秘”。

4年来，从Photoshop到网页设计，从C语言到Java，他在计算机领域开创了废寝忘食的学习模式，但原本自己选择的国贸专业课程却应接不暇。 令人意外的是，上大学时，云舒的专业几乎全都要上，即将毕业的他在外人看来前途光明，最终连毕业证书都拿不到。

但是，幸运的是，2004年到2008年的四年可以说是互联网的黄金期。 “我毕业的时候正好是产业发展的爆发，大工厂的原始积累就是从这个时候开始的。 各个单位缺人，既是技术开发，也是业务。 ”

就这样，云舒首先在上海公司开始了技术支持，一年后跳槽到绿色联赛，开启了安全工程师的职业生涯。 最初是工程师，但他很享受这种纯粹的自由。 “我就像‘刀’。 如果项目经理问我要切哪里，我就切。 让我们看看剪了之后取得了什么效果。 那个时候我不喜欢和人交流，但是我很享受纯粹的技术挑战。 ’在绿色联赛的一年里，云舒精通攻击、入侵等技术，他也很喜欢做认可的渗透测试。 当他玩得很开心的时候，希望有一天道哥(吴翰清)能找到他，去雅虎(中国)。 此时雅虎被阿里收购，安全需要人。 这个契机也成为了他职业生涯的转折点，从单纯制造技术开始接触到项目管理、团队建设等更具挑战性的管理工作。 但是云舒的第一次面试不顺利，给面试官留下了不善言辞、难以有效沟通的第一印象。 但是由于需要人力来整合阿里和雅虎的相关业务，公司的搬迁需要有人设计安全的无线网络。 在这样的机缘下，云舒获得了机会。 “当时国内很少有人在建设安全网，大部分都在建设网络，系统底层充斥，但这并不是基于无线网络的体系结构。”“攻克无中生有”的项目在实际操作中，从攻击、入侵，到构建无线安全网，这个幅度相当大，可以预想到压力。 但对云舒来说，如果没有退路，也只能硬着头皮。 就这样，他呆呆地查了整整一个星期的各种资料。 “和‘面壁’一样，有一天我知道了无线局域网的安全性怎么样了，亮了起来。 ”在建立网络的同时，云舒身兼数职也开始着手建立团队，包括在项目上与供应商协商、产品评估等。 这期间，他缺乏的交流能力得到了很大的锻炼。 终于，在新办公室开设之前，无线网络顺利开通了。 万事开头难，顺利获得入职的第一个项目后，云舒在后来成为安全专家的路上也越来越顺利，直到两年后去阿里。

直到沉淀爆炸：擅长“少年时代”的技术

进入雅虎两年后，云舒被调到了阿里总部，和道哥调到了同一个部门。 人生相遇时，道哥也非常感动，15岁就考上了西安交大少年班。 他和云舒一样“叛逆”，对大学刻板的教学方式不感兴趣，开始在电脑世界里寻找自己的天空。

就这样，云舒负责系统网络，道哥负责应用安全，两个“技术自豪少年时代”的黑客打开了他们在阿里巴巴的“创世纪”。

进入阿里的头一年，云舒只是在阿里推广并落地了从雅虎两年的锻炼中学到的体系结构，其他日常工作对他来说，没有更多的挑战，就这样，他们经历了一年的沉淀期。 “真正的挑战是从2009年开始的，”云舒说。 这一年年初，阿里正式成立了集团研究院。 同年9月，云计算公司基于研究院成立，阿里软件首席技术官王健博士刚刚担任公司总经理。 这一战略布局让阿里发誓要向云下决心，但实际上国内在云计算领域几乎是一片空白。 “这是一个非常重要的拐点，”云舒说。 “我们最初理解的云计算其实是错误的，2009-2012年的研究方向是错误的，当时就很消沉，所有人都处于崩溃的边缘。 有一天，实在受不了了，我请假开车到西湖边，越想越不满，然后大哭。 ”回想起当时的心境，云舒觉得那种痛苦的心情主要来自“挫败感”。 埋头于研究开发的时候，无论怎么努力都无能为力的感觉。 而且不仅是他，全队的三四十人，安全的五六人，所有人都在做什么，好像错了。 就这样，在“灵活计算”技术出现之前，我经历了1年、2年、3年的痛苦。 “当时我们正在做的是opendataprocessingservice ( odps )、离线处理大量数据的服务，后来改名为MaxCompute )。 它类似于Hadoop，曾用于分布式计算和分布式存储。 当时我花了很多时间在这个项目上。 直到后来发现了灵活计算。 ”在他看来，“灵活计算”这一最初被认为是边角料的技术，在落地过程中被证明是有效的。 从那以后，不仅是蚂蚁的安全团队，包括整个蚂蚁在内，在云计算方面都做得很好。 2013年底，AlibabaCloud (阿里巴巴云)计算获得全球首个云安全国际认证金牌( CSA-STAR )，同年余额宝核心系统全部迁移至AlibabaCloud (阿里巴巴云)。 一年后，随着云联合计划和MaxCompute的推出，云生态系统不断构建，优惠的产品价格也吸引了众多中小企业加入，AlibabaCloud (阿里巴巴云)正式升温。 “就像极度缺氧的黑暗房间里，突然进来了新鲜的空气，阳光照射进来了一样，每个人都从那种极度的压抑状态中再次闪耀着。 ”在AlibabaCloud (阿里巴巴云)走上高速公路，云服务也顺利发展后，云服务带着三人团队开始内部创业，成立了安全实验室，推出了三款影响力产品：基于用户行为分析的风电但当一切都朝着更好的方向发展时，云舒的心境却在发生着潜移默化的变化。

为理念而努力的时候到了！

蚂蚁十年来，云舒度过了他的青春时光，留下了许多美好的记忆。 这个“黄埔军校”也让他从初出茅庐，成长为自信的资深专家。 决定离职时，他成了众多“粉丝”追随的“安全大神”。

不久，他要离开蚂蚁的消息传遍圈内，虽然他本人没有发声，但网上已经炸开了锅。 有人问：“你怎么看云舒离开阿里巴巴？ ”。 的讨论，收集了20万以上的浏览数，有100人回答。 其中有“阴谋论”，有人推测是为了“安全的大事件”，也有人认为是为了实现自己最初的黑客精神、侠义感情的梦想。

众说纷纭，云舒只答了一句。 “别胡说。 离开蚂蚁只是为了创业。 ’事实证明确实如此。 事实上，从阿里出来创业并不是什么新鲜事。 云舒之前，道哥先他一步，后来成为百度副总裁的马杰加盟了当年创办的安全宝，在王坚博士的邀请下，道哥带着他的部分团队回到了阿里。 半年多后，安全宝被百度全资收购。 云舒的离家出走也是其由来。 离开前，他已经对传统的安全防御理念感到“担忧”。 “蚂蚁的时候有问题，我一直很困扰。 我们购买的入侵检测产品每天有1万多个报警量，但无法显示问题出在哪里，所以我觉得这个产品其实没有意义。”这个问题在安全行业普遍存在，重要的是传统安全产品的架构理念。 入侵检测看起来像是在建造坚固的墙壁，但实际上有很多漏洞。 他举例说：“传统做法是在需要保护的资产周围搭起围墙，在每扇门上放置‘警卫’，但这些‘警卫’往往识别精度很差，为了提高精度，必须设定更严格的规则，但这很多真病毒善于伪装，能巧妙地避开个别规则，反而能蒙混过关”，如何更快更准确地捕捉到病毒？ “动机”很重要。 喜欢竞技思维和逻辑推理的云舒开始从人的心理着手，毕竟病毒背后是人在操纵。 一旦有了这样的想法，就会试图挖掘背后的本质，不断深入理解，最终形成理念。 这样，在蚂蚁的最后时刻，他已经和传统的防御理念“貌不扬”，离家出走是必然的，只有早晚。 “要不要有一天老聂泉(聂万泉，原AlibabaCloud (阿里巴巴云化)平台安全总监)找到我，一起创业？ 我听说了。 ”尽管许多亲朋好友劝阻，云舒并没有太多犹豫。 这个基础来自“十年磨一剑”的自信，更多的是为理念而努力的时候。 “到了！ ”这样，默安科技在阿里巴巴“出走小分队”的带领下，于2016年4月正式成立。 三位创始人分别是CEO聂万泉、COO汪利辉，还有CTO是云舒本人。 除了经营管理上的分工，他们还有共同称号——“诈骗防御”理念的重要传播者。 说到这个理念，就是他们在思考如何尽快抓住病毒的“动机”的基础上，通过现象看本质，通过系统的框架形成的一种新的攻防思路。 “这就像警察抓罪犯，传统防御在围堵中处处设防，张贴了很多罪犯的外表特征和行为习惯，但这些其实都可以通过刻意回避来伪装，”云表示，既然网络病毒是人类制造的。 就像罪犯犯罪时总是一副可疑的样子一样，网络病毒也在隐藏攻击时露出马脚。 就这样，云舒和他的伙伴设定了“诈骗防御”的“三步逮捕”战略。 第一步：布控，引导“罪犯”。 “我们在墙上挖了个洞，装上了似有似无的木门。 虽然看起来和墙壁一样，但是可以用‘脚’踢破。 这个洞连着房子，里面有《金银珠宝》。 最后在入口安装“监控摄像头”。 ”步骤2 :警告你抓住“现行”。 “第一步控布后，第二步是抓住现行。 来这里踢开门，就不是好“人”。 好的‘人’都走门，不在这里踢门。 看到踢门的“人”，我们就抓住它。”步骤三：收网，清除“漏鱼”。 “如果第二步不小心漏掉了，‘坏人’进来了怎么办？ 没关系。 我们在房间里和入口处设置了监控摄像头。 然后在“宝石”上打上标签，只要移动手脚就能找到入侵者。

“对于现实世界‘犯罪心理学’的运用，云舒和他的伙伴们另辟蹊径，开辟了安全的新事业。 “我们在国内开辟了新的领域。 这对我来说是非常高兴的事情。 ”成立半年来，默安科技于2016年秋季首次发布了基于“欺诈防御”理念的产品。 云舒表示，经过两年的沉淀期，到2019年产品得到市场认可，2020年开始爆发。 目前，进入该领域制造类似产品的已经有三四十家企业。

2022年3月30日，默安科正式宣布完成3亿元人民币的D轮融资。 目前，公司围绕左移开发安全( DevSecOps )和智慧运营安全( AISecOps )两条主线提供安全的产品和服务，覆盖上线前和上线后的全场景。 其中，以反欺诈为核心的AISecOps核心业务主要面向云化数据中心场景，通过AI智能替代传统的需要人力的安全运营和运维业务。

开发者发展提示：从“普通”到“卓越”

看看云舒的成长经历，就知道这不是天才少年拿起剑砍刺的故事吧。 他不是天才。 用他自己的话来说，只是理工科有才能，但有才能的人很多。 很少有能真正摆脱自己的技术人生。 事实上，他所有成就的背后，都有一些不得已的“隐忍”。 虽然选择错了专业，但是为了成为开发者，必须克制自己不被期望成为“差生”。 虽然研发没有起色，但要想达到“大钱”，必须经得起“做什么都错”的长期考验； 理念无法被理解，但为了证明自己，必须忍受“一切重新开始”的潜在不安。 原本是被恶意揣测的“燕雀安知鸿鹄之志”，如今实际行动证明了其“志”是什么。 就像电影台词一样，“只有追求卓越，成功才能在不知不觉中赶上你”。 最后，云舒在接受《新程序员》采访时，对目前的网络安全行业，以及开发者也谈了很多他的深刻认知和精彩观点，在此一并介绍给读者。

未来趋势：深度学习加持、云分发、“零信任”理念

《新程序员》 :近10年，网络安全行业出现了哪些划时代的技术？ 云(我认为近十年最重要的技术是“深度机器学习”，也就是很多人说的AI。 AI技术通用性很强，基本上可以在所有安全领域工作，也实现了很多以前无法实现的目标，如Web shell检测、流量检测、web攻击检测等。

这些检查以前难度很大，无论写多少规则都会混淆或加密的攻击技术被绕开。 深度学习首次在检测端出现了不那么被动的、基于AI的自动化渗透机器人，在不知不觉中7*24小时全天候对指定目标进行了渗透攻击。 有时，误报极高的静态APP安全测试( sast )产品，只有真正实现AI技术的力量才能“拯救”。 如果有一天AI能够实现低误报、高精度的白盒子代码审计，就实现了与人类相近的智能。 《新程序员》 :在数字经济或数字化转型时代的背景下，网络安全技术将出现什么新趋势？ 呈现出什么样的特征？ 云：一个重要趋势是，从云中分发的安全功能越来越多，并且以SaaS的形式分发。 其实，数字化转型对云计算的发展起到了很大的作用，云计算的普及让很多企业，甚至一些中小企业没有强大的技术团队，就拥有了强大的计算资源和巨大的同样，这些企业也缺乏强大的安全团队，因此需要与来自云的同样方便的安全功能相匹配。 第二个趋势是数据安全和隐私计算得到了充分的发展。 更多的东西从传统线下放到网上，不同组织之间必须合作计算，甚至是数据流。 那么，如何安全地访问这些数据，在保证隐私的情况下共同分析数据就成为一个非常重要的问题，可能会涉及到很多人安全计算、同态加密等方面。 三是零信任理念加快落地。 在越来越多的企业实现数字化转型后，移动办公、远程办公将成为常态。 传统的VPN接入设备不是针对大量的日常使用而设计的，零信任方案将是一个好选择。 这也与第一个关于云分发的安全能力相结合，零信任能力将成为云分发众多安全能力中最基础的一个。 《新程序员》 :关于“零信任”，它作为一种新的网络安全防护理念，在落地APP应用上有哪些新的突破？ 云舒：这个理念可以落地很多产品。 零信任默认不信任任何接入，通过一系列认证机制获得系统信任。 而且，这种信任并不是一次认证一直信任，而是动态的、变化的。 通过行为数据、UEBA动态调节的权限、高危行为触发或阻止二次认证，对传统信任机制来说是一个相对较大的升级。 落地中，零信任的当前趋势已经取代了VPN，作为一种更加合理、安全的接入方式，相对于VPN具有明显的优势。 因此，目前许多零信任项目都是以取代VPN为名设立的，而落地最值得借鉴的是谷歌的BeyondCorp架构中提到的落地方法。 从长远来看，零信任将成为安全访问服务( sase )的标准模块，最终在云中分发。 在另一个层面，零信任被用作内部网入口，经常被用作IT产品。 企业内部无需建立专用的内网入口，直接使用零信任产品作为内网APP应用的统一入口，现发布、接入。

新挑战： 5G、云原生、开源

《新程序员》 :5G的普及给网络安全带来了什么新的挑战？ 我该如何应对？

云舒： 5G的应用场景主要是可移动设备。 随着5G的普及，能够云服务化的东西越来越多，比如在云PC、云手机、汽车云中实时合作等。 这样的话，云端攻击会更直接地影响个人的生活。 在万物依托云相连的时代，云上的安全问题将进一步扩大。

所以，5G时代开发安全的重要性更加凸显。 由于更多的移动终端连接到互联网，所以传统的设备制造商很可能不具备开发设备自身的系统安全功能和云API的安全功能等安全的面向互联网的商务系统的能力。 《新程序员》 :云原生代替传统IT已成为许多企业中台体系结构的新选择。 这方面突破了传统信息化系统的壁垒，但同时也带来了新的网络安全问题。 从日常实践中，主要发现了哪些新问题？ 是怎么解决的？ 云(现在的云原生主要以k8s(Kubernetes )容器云和更底层的虚拟化云为主体，因此云原生增加了新的东西，包括云的安全性。 实际上，很多企业还没有掌握云服务的安全使用方法，新的K8s及其生态系统非常复杂，其中引入了很多新名词和新配置，容易因错误理解、错误配置而出现重大的安全问题。 K8s作为一个以中心方式管理的体系，一旦出现问题往往意味着“一锅端”。 除K8s外，云原将业务分割为多个微服务器，微服务器之间存在大量的API调用和数据传输。 在这个级别上，所有传统的安全产品都将失效，需要新的安全工具。 另一方面，云以本机方式使用DevOps敏捷交付，传统的安全保护生命周期( SDL )、安全开发生命周期( SDL )计划太重，太慢，跟不上。 为了满足DevOps的发布成功率，需要新的高自动化、高速化、低误报的DevSecOps工具，此外还需要注意部署问题。 云的本机业务和环境已打包并快速上线。 这样一来，先部署传统环境，再部署安全产品，最后再部署业务的模式就完全不可能了。 云的本机系统需要本机安全性，并且在表明需要后可以立即得到保障，而无需添加部署时间差。 因此，云原生需要虚拟化云、公共云OSS、RDS等SaaS化云服务，以及横跨多群集容器云的全新统一安全方案。 在这种复杂的执行环境中，从代码到镜像、测试、分发和执行的节点都是垂直的，以提供更好的可见性和控制能力。 方案要具有高度的敏捷性、灵活性和弹性，跟上业务自动化的实施和变更，我们一般称为cnapp ( cloud-nativeapplicationprotectionplatform )。 《新程序员》 :开源更不安全，你觉得这个问题怎么样？ 如何防范开源风险？ 云舒：如果有两条河，一条非常清澈，可以看到河床上破碎的玻璃和钉子，一条河的水是黑色的，看不见河床，那哪条河更安全？ 可以将前一条河视为开源软件，将后一条河视为封闭源代码软件。 安全与否与是否开源关系不大，重要的是该软件提供商的安全开发能力、安全管理能力。 即使从数据来看，也不知道开源和封闭源代码哪个更安全。 一些使用面广泛的封闭源代码软件出现了许多高危的安全问题。 另外，还有非常安全的使用面广泛的开源软件。 作为开发安全的一部分，开源安全在首席信息安全官( ciso )级别提供支持，包括产品经理、研发和测试其中包括安全意识培训、安全发展能力培训、安全流程开发等。 一些过程传统的可以使用SDL体系，敏捷的可以使用DevSecOps体系、软件成分分析( SCA )、iast )交互应用

To开发者：亲力亲为，践行人品，埋头苦干

《新程序员》 :“不能对站在海岸上在田地里插秧的人指手画脚。 请自己站在田地里。 ’你现在还在日常参与研发和更基础的代码编写吗？ 如何向开发者传达自己开发的思维和价值理念？

云舒：这个问题很有趣。 2020年，在我们研发人员非常短缺的时期，我试图参与代码的编写，但被我们的研发总监拒绝了。 他很担心我写的代码的质量。 我从来没有受过正规项目的考验，所以最多也写过小工具。

是我2016年说的这句话。 创业前，我在阿里做了10年安全，对安全产品有自己的想法，也向很多厂商谈过我的想法，但他们没有实质性的动作。 于是我想可能是因为我站在岸边。 没有说服力，也有可能是我错了。 于是我自己跳进田里“插秧”。 这句话是我创业之前给自己听的。 我向很多安全供应商讲述了我的理念，但他们真的不认可，所以我开始创业，自己做了一点不同的东西。 对于程序员来说，大部分都非常实用，因为大家都喜欢说“Talk is cheap，show me the code”，所以我没有必要告诉他们同样的事情。 程序员，或者技术人员，需要理解和同意，需要成就感。 我更关注的是这方面的事。 技术人员最大的挫折不是项目失败、产品失败。 所以，我在条件允许的情况下，参加每个重要版本的需求评审、原型评审、技术架构评审，确保版本可靠，避免以后发生返工，挫伤积极性。 做好这一面后，大家会相处得很愉快。 《新程序员》 :目前安全领域人才总体上是不应对需求供给，对需求供给较大，还是基本平衡？ 招聘技术开发人员主要重视哪些方面？ 云舒：优秀人才供不应求。 各大互联网公司、各大银行、证券公司、各大安防公司，都是抢手的。 技术人员，第一看人品，第二看实践能力，学历次之。 曾经有人告诉我可以把之前公司的代码拿来，但我直接拒绝录用。 人品有问题的话安防行业就做不到。 《新程序员》 :对于开发者，有什么样的技术开发路径建议？ 基于你自己的经验，如何达到高效快速的学习，变得更加积极向上？ 云舒：我有三个建议。 第一，不连接网络的时候就不连接网络。 特别是q&amp； A类，请不要去知识付费类的网站。 那里没有知识。 另外，会引起好像在学习的错觉。 我们可以买书，认真阅读。 纸和电子都可以。 二是实践。 每次学习新的东西，都会做很多实践。 第三，坚持。 在技术路线上，OS相关技术、网络流量相关技术、WEB安全相关技术三种常用方向最受欢迎。 它是通用的，可以考虑在数据分析技术、持续学习技术等所有方向上发挥作用的东西。

本文内容为《新程序员004》，20年前，《程序员》创刊时，我们要全面关注软件人的成长。 今天，我们的初心还没有改变。 一行代码的背后，是生动的开发人员想要改变世界的雄心壮志。 为此，《新程序员》由潘爱民任MySQL之父，MariaDB创始人Michael 'Monty' Widenius，PostgreSQL全球发展集团共同创始人Bruce Momjian，阿里巴巴副总裁贾扬清，知名

完成一亿名技术人员