刚入行那会儿,我也以为写代码就是敲键盘、改bug、上线功能。每天在需求和修复之间来回切换,像个熟练工。直到有一次,公司系统被黑,日志里全是陌生IP在扫描端口,老板盯着我们几个开发问:‘谁能查出来问题?’没人说话。那一刻我才意识到,光会写代码远远不够。
初级阶段:能干活就行
大多数程序员起步都在这个阶段。任务是实现接口、对接数据库、完成前端页面联动。这时候的目标很实际——按时交付,少出错。比如你接到一个用户注册功能,后端用Spring Boot搭个Controller:
public class UserController {
@PostMapping("/register")
public ResponseResult register(@RequestBody User user) {
if (userService.existsByUsername(user.getUsername())) {
return ResponseResult.fail("用户名已存在");
}
userService.save(user);
return ResponseResult.success();
}
}看似没问题,但如果没做输入校验,恶意用户传个超长字符串或者SQL片段进来,轻则报错,重则数据库被拖走。这已经不是功能问题,而是安全漏洞。
中级转型:开始关注边界风险
干了两三年,有些人还在堆业务逻辑,有些人已经开始留意请求来源、数据流向、权限控制。我有个朋友在做支付模块时,发现回调地址居然是前端传过来的,立刻意识到危险。攻击者完全可以伪造回调跳转到钓鱼页面。他主动加上白名单校验,并推动团队引入签名机制。
这种转变往往来自真实事故的刺激。比如某次日志显示大量404请求集中在/admin.php、/wp-login.jsp这类路径,明显是机器人在找常见后台入口。这时候你会开始学怎么配置WAF规则,怎么看防火墙日志,甚至自己写脚本分析异常流量。
向网络安全靠拢:把防御变成日常思维
当代码写得足够多,就会发现很多问题本质都是安全设计缺失。比如JWT token长期不过期,Session ID可预测,上传文件不检查类型。这些问题在开发阶段没人提,出了事却要背锅。
于是有人开始往安全方向走。不是转岗,而是带着开发经验深入理解攻防。他们会看OWASP Top 10,动手搭靶机测试SQL注入、XSS跨站脚本。也会研究如何在CI/CD流程中加入静态代码扫描,比如用SonarQube检测硬编码密码:
// 不安全的做法
String password = "123456"; // Sonar会标记这条
// 改为配置文件或环境变量
@Value("${db.password}")
private String password;高阶路径:成为懂攻防的研发骨干
真正吃香的不是只会修漏洞的安全员,也不是只管完成功能的开发者,而是能从架构层面预防风险的人。比如设计微服务鉴权体系时,直接引入OAuth2 + JWT + 黑名单机制;做API网关时,默认开启限流和IP封禁策略。
这类人通常经历过几次应急响应。知道怎么通过Nginx日志还原攻击链,能在Redis里快速定位异常key,也敢在凌晨三点重启核心服务。他们的技术视野不再局限于语言框架,而是延伸到了网络协议、操作系统权限、云平台IAM策略。
有人问我:“是不是得考个CISSP才能转安全?”其实真正在乎的是实战能力。你能说清楚一次DDoS攻击背后的原理,能写出防止反序列化漏洞的通用工具类,比证书更有说服力。
别等危机才觉醒
现在不少公司招Java工程师都要求了解“基本安全防护”,这不是附加项,而是底线。你在简历上写“熟悉Shiro安全框架”、“有日志审计经验”,面试官眼神都不一样。
职业发展的路从来不是笔直向前。有人二十岁专注写代码,三十岁开始琢磨系统稳定性,三十五岁主导整个产品的安全体系建设。每一步都不是突变,而是在一次次线上事故、日志排查、攻防演练中自然生长出来的。”