Part 1 - 我在一家E轮初创公司产品安全团队的第一个100天

图片来源：Daniel Cheung @ Unsplash

作者：Joe Basirico 发布日期：2021年8月2日 阅读时间：8分钟

在应用安全咨询行业工作了近二十年，并帮助客户解决了最棘手的挑战之后，是时候将我过去常常告诉别人的建议付诸实践了。以下是我在最初100天里学到的经验教训。

我曾组建过安全团队、建立过漏洞赏金计划、制定过工具策略和招聘计划等等。我本以为能迅速上手，在第一天或至少在第99天前就开始产生影响，虽然早期确实产生了一些影响，但我还有很多需要学习的地方。当我度过第100天时，我对造就成功产品和成功产品安全团队的因素有了更深的理解。在本文中，我将带您了解我从经验丰富的安全供应商转型为 Highspot 公司高级产品安全总监过程中所面临的成功、挑战和失败。

Highspot 打造的产品通过弥合战略与执行之间的差距，来提高销售团队的绩效。在我的整个职业生涯中，我曾目睹工程团队和销售团队未能有效协作。我也见过销售团队成员因组织无法有效支持而失败。Highspot 正致力于解决这些问题。

我们正在组建一支卓越的安全工程师团队，以帮助兑现这一承诺，同时与我们的客户建立并维护信任。我们正在招聘各个级别的安全工程师来实现这一愿景。如果您对安全充满热情，请立即申请！

本系列包括三篇文章。第一篇讨论了我如何发现 Highspot、我的最初几天，以及我如何构建我的思维框架以便在 Highspot 高效工作。加入任何新公司都具有挑战性，而远程入职则带来了额外的挑战。我的第二篇文章将聚焦于安全思维的转变，即从成为工程团队的障碍转变为赋能者。我们希望通过培训、支持、工具、自动化等方式，从设置关卡转向明确职责。最后一部分探讨了我过去的假设，以及我如何必须进一步转变思维以适应 Highspot 的文化。来自公司外部的过往假设可能既是资产也是负担。我必须在多个方面改变我的方法以达到最佳效果。在那篇文章中，我还将讨论如何平衡眼前的安全需求与长期的安全战略。希望您能享受我在 Highspot 最初100天的旅程，并从中有所收获。

就像准备一顿丰盛大餐一样，从整理开始很重要。照片由 Rudy Issa 拍摄，发布于 Unsplash

找到 Highspot

当我开始寻找新职位时，我便开始了准备工作。在我之前的公司，我有机会在多年时间里组建了工程团队。因此，我能够建立起一种尊重、支持、成长和技术能力的工程文化。我最大的顾虑是离开我所认识的最优秀的工程师团队，进入一个未知的文化环境。我面试了多家公司，发现 Highspot 秉持着一套包容的、基于成长的价值观，这很吸引我。我并不热衷于必须赢得同事们的认可，以说服他们安全的重要性。但在 Highspot，情况确实并非如此。我经常听到的是：“这太棒了！安全团队来了！让我们与他们合作，了解如何能让我们的客户更安全。”

为了准备我的新角色，我重温了所有我认为需要的技术技能。我阅读书籍和文章，观看视频，创建个人项目，阅读源代码，并利用新发现的漏洞攻击系统。这是我整个职业生涯一直在进行的旅程，但当我开始面试新职位时达到了狂热程度，并在入职 Highspot 后持续进行。我坚信领导者应保持技术能力，并能在必要时深入钻研。与技术脱节的管理者很少能有效或高效地激励、指导或领导。虽然咨询行业的工作帮助我跟上了软件、安全、风险和威胁领域许多新出现的趋势，但总有更多东西需要学习。

我在 Highspot 的头几个月似乎都围绕着尽可能多地将信息灌输到我的大脑中。顾问的超能力之一是能够快速掌握新技术。虽然这是一项重要的技能，但我不想依赖它。如果我能提前获取这些知识，那将是最好的。因此，我开始努力确定在我需要之前，必须掌握哪些知识。

我读过的其中一本书是 Michael D. Watkins 所著的《最初的90天》，我推荐给任何处于重大职业转型期的人阅读。这本书最初出版于2003年，最近有更新，它帮助进入新角色的领导者创建一个按周和月分解的成就路线图。这本书的一个关键要点是：使你在以前职位上成功的因素，不一定能使你在新职位上成功。事实上，它可能会阻碍你！这对我来说是一个至关重要的启示。作为一名顾问，我经常因为我的职位和背景而被征求建议或指导。在我的新角色中，这些知识是有帮助的，但我需要确保我理解新同事的历史和决策，以便在此背景下支持并指导他们，而不是带着满是假设的路线图贸然闯入。

在 Highspot，我们正在打造一个被全球数百万人使用的产品。我们被称为“西雅图最新的独角兽”，并拥有惊人的增长速度、客户需求和功能请求。该产品实现了一个愿景，即让销售和营销团队能够为客户提供价值，而无需通过收集客户隐私来牟利。通过健全的安全和隐私决策，与我们的客户以及客户的客户建立信任，是 Highspot 的基石。

我认为我的安全角色包含两个部分：

1. 让船和船员准备好穿越惊涛骇浪——满足眼前的需求。
2. 在我们横渡大西洋时，维护一流的船——确保产品未来也安全。

照片由 Meg Jerrard 拍摄，发布于 Unsplash

让船适合航行

作为 Highspot 首位产品安全高级总监，我们需要立即着手处理许多事情：招聘产品安全团队、应对当前风险、通过渗透测试和代码审查了解我们的安全基线、改进我们的工具和外部评估供应商，以及开展新的安全培训。

在我们招聘到更多安全工程师之前（我提过我们正在招聘各个级别的安全工程师吗？），我正扮演着全职独立贡献者的角色。我们团队审查 PR 中的代码，审查需求和规范，为工程团队设定安全目标等等。这些日常活动目前至关重要，因为它们代表着降低组织面临的真实且当前风险的方法。如果我们错过了一次架构审查，就可能引入一个新的漏洞，而未来修复该漏洞的代价将非常高昂。然而，Highspot 发展如此之快，我们可能会迅速被源源不断的请求淹没。如果我在一年内没有通过招聘比我更优秀的安全工程师来取代这些职责，那一定是出了大问题。

我们将在这些文章中更深入地探讨这个阶段，但我的策略主要集中在这两件事上：为 Highspot 的每一位工程师配备所需的安全意识和赋能，让他们能够实时做出良好的安全决策；以及招聘一支能够随公司规模扩大并领导这些安全决策的安全专家团队。

照片由 Michael Blum 拍摄，发布于 Unsplash

维护我们一流的船

一旦我们通过培训和船员为我们的船做好了准备，就是时候扬帆起航了。Highspot 正在进行的旅程并不短暂。Highspot 已经成立了九年多，未来还将存在很多年。理解这对这家超高速增长公司的发展轨迹意味着什么，对于安全计划的成功至关重要，就像它对整个公司的成功一样。

为了维护我们的船，我们必须将安全内建其中，使安全变得容易，并找到如何实现自我修复的方法。安全团队和我不能成为安全软件的看门人。拥有超过200名工程师，我们的安全团队永远无法执行所需的每一次设计审查、代码审查或渗透测试；我们必须动员整个组织，甚至外部人员的力量：漏洞赏金计划、客户反馈和渗透测试。我们回应每一个安全咨询，毕竟，让互联网成为一个更安全的地方，需要的不仅仅是我们的安全团队。

在撰写用户体验相关内容时，Jeff Atwood 写了一篇很棒的文章，关于让你的 UI/UX 如此出色，以至于用户会“掉入成功的陷阱”，换句话说，他们想不做好都难。我希望让 Highspot 的所有工程师都能如此轻松地构建安全产品。

同样，我们将在本系列后面探讨维护一流船只所需的条件，但这包括：优秀的安全文化、集成的安全工具、卓越的安全合作伙伴关系，以及对新老员工的长期安全培训。

总结

在一家新公司担任新职位可能充满挑战。我很幸运找到了 Highspot，并且很高兴发现它符合我对优秀文化和有趣挑战的追求。在跳槽前设定目标，包括在离职前要完成的事项，以及指导在新组织前100天的目标，可以使过渡更容易，并有助于在新角色早期建立有意义的成果。在 Highspot 的职位上，显然有些活动需要立即完成，但我们也需要持续着眼于未来，建立能将安全融入每个角色的最佳实践、文化和流程。

在下一篇文章中，我将讨论如何通过从设置安全关卡转向让安全成为每个人的责任来获得更大成功；通过选择赋能工具和自动化；通过选择优秀的默认设置、库和框架来实现。在接下来的文章中，我还将探讨我是如何验证自己过去的假设，学习 Highspot 的流程和价值观以提高效率，以及如何平衡眼前需求与未来目标。