如何做一名好的web安全工程师？

　　在网络安全行业里面，web安全方向的人相对来说算是占大头，因为web安全初学阶段不像系统底层安全那么枯燥，而且成功hack目标网站的成就感相对也是比较强的。

　　web安全工程师这个职位在甲方和乙方公司都有，在安全这块，甲方指提出安全需求的公司，而乙方公司则是指提供安全服务的公司，一般的中小型公司没有安全岗位，甲方的安全部大多都挂在运维部下面。另外在大公司和小公司web安全工程师做的事情也不一样，大公司工作分的相对细，一般做渗透测试的就只做渗透测试，在[正规小公司]就不一样了，一般本职工作就比较多，可能安全服务、安全研究以及安全开发都会放一部分在身上，这对工程师的要求比较高，也非常难招到。这也就是平时经常跟朋友开玩笑说的[招个会搞运维、又懂安全、又懂开发的，打灯笼都难找]，当然这也是我对公司安全team成员的要求。

回到正题，如何做一名好的web安全工程师？主要是[职业操守]和[技术]两大方面。

职业操守是为人处世最基本的东西，职业操守好的人就比较靠谱，我非常讨厌的三种人就是
  1.经常莫名其妙联系不上，不注重沟通。
  2.经常无故失约，放鸽子。
  3.工作没有积极性，非本职工作怨天尤人。

这三点都有一个共同点就是[尊重]。从这三点就可以看出一个人靠谱不靠谱，靠谱的人往往注重交流，不管是工作还是生活，他能随时把最新情况通知出来，有非常强的合作精神，能让你有搭档的感觉。
  态度决定一切，这是非常好的一句话，做任何事之前首先要看的就是态度，在资源这么丰富的互联网时代，如果有心做一件事，技术不好网上都可以找，做事态度不好，能力再强也没用。

技术这块，方向不同需要的技术也不一样，不过既然是做安全工作，必须要知道的更全面，就算不做到熟练，熟悉还是得要。
  
    我之前说过一句话[没有安全研究能力的公司不能叫安全公司]，研究能力是一家公司创新的根本，所以web安全工程师一定要具备[安全研究能力]。如果一个web安全工程师做渗透测试，没有安全研究能力，就永远跨不过脚本小子的坎，只会使用别人的研究成果，从来不去思考原理性的东西，就算经验再多再熟练也只是做重复的事情，没有创新性，不能对现有资源进行改进。

我还说过一句话[编程和运维是安全的基础]，为什么这么说？代码写多了，思维逻辑就能转的很快，对安全问题也能看的更仔细，理解的更通透，能让你在技术的任何领域都能快速成长，所谓一通百通。运维能力在安全中也非常重要，举个最简单的例子，如果跑去别人公司做应急响应，连别人的设备、环境、架构这些都不懂，那后面的应急响应是非常困难的，另外具备运维能力，也能让自己快速的搭建各种环境，快速学习。

下面我总结出来一个好的web安全工程师应该具备的素质，用人单位在招人的时候可以参考下：

  1.靠谱的职业操守。
  2.有积极进取的心，能够不断强化自己。
  3.安全研究能力，创新能力，能够对现有资源进行改进。
  4.编程和运维能力。