人物访谈｜杨悉瑜：踏歌而行，做不负星光的赶路人

杨悉瑜，本科毕业于暨南大学，自2019年入学加入复旦白泽起，就踏上了硕士学习的征程。在这段学术道路上，她以坚定的步伐和不懈的努力，逐步成长为复旦白泽内核研究方向的重要支柱。她对Linux等操作系统内核的安全研究充满热情，巧妙地结合程序分析与AI辅助技术，为现有的内核漏洞自动化挖掘能力注入了新的活力，成功地揭示了多种新型内核引用计数漏洞模式，更是在最新版的Linux内核和FreeBSD内核中，捕获了五十余项内核代码问题。同时，她积极地与安全社区合作，协助修复这些重要的安全漏洞，也因此荣获了Linux社区的公开致谢。她的相关研究成果在网络安全顶会USENIX Security 2021等重要会议上得以展现，得到了业界和学术界的广泛认可。

毕业答辩

2022年年初，杨悉瑜在毕业后即担任华为云核心网安全解决方案（磐石安全实验室）高级工程师，身兼公司白盒安全测试C-TMG成员及云核安全与隐私测试TMG成员之职，负责安全工程建设及业务安全攻防研究工作，涵盖代码安全、电信协议安全、AI安全等领域。

其实有很多改变是潜移默化的，在实验室的那些日子里，大部分时间都过得很充实，我学会了怎么带着研究的思维去系统化完成一个课题的开展，从调研到case分析、idea讨论再到工具实现、实验设计等等，通过每个环节，我一步步提高了自己的思考能力和工程能力。当然，在这个过程中，我感受更深的是磨砺出了迎难而上、永不言弃的精神。在课题开展的过程中，难免会遇到挫折，比如提出的方法不够有效或不够创新、它的实现不够solid、实验效果不如意等等。这自然就牵涉到一个挑战，就是该怎么从打击中快速恢复并以饱满的热情重新投入工作。我觉得，不管是在实验室，还是在工作中，都需要持之以恒进行学习。

两年前的毕业纪念合照（前排左六为杨悉瑜）

   SPRING  FESTIVAL   

说实话，我并没有刻意去培养。很多时候，所谓的实力是一点点日积月累起来的，也就是功到自然成。不过，从企业的角度来说，有两点我觉得是比较重要的，一个是技术能力，这个范围比较泛，包括把抽象的思维方法具象化为可落地工具的工程能力和解决问题的能力，以及在某个领域有深入研究或者实践、具备自己见解的研究能力。在实验室的时候，其实有很多机会能够充分锻炼这一能力，包括横向课题、纵向课题、参加竞赛等等。只要积极参与，就能够抓住这些机会认真去做，我相信一定会有很多收获的。还有一个是进行表达和总结的能力，这一点也很重要，包括如何清晰地表达出自己的观点、把自己的思考提炼总结成insight，还有总结自己以及前人做的工作中的亮点和难点等等。我平时在实验室的工作中也会注重积累和锻炼这方面的能力，比如在组内讨论论文思路、讨论班讲论文/session，还有做调研需要对论文summarize的时候，日积月累，我各方面的能力也得到了很大的拓展和提升。

关于如何准备面试，其实如果已经具备了刚刚提到的各项能力，那就没什么大问题了。除此之外，就是一些“表面功夫”了，包括写一份清晰的简历，这样能让面试官一眼看到你的优点、擅长的领域、参与的实验室项目经历等等。当然，在参加面试之前，也要对岗位、对公司进行充分了解，毕竟面试是一个双选的过程。在面试之前，可以通过多种渠道把信息差达到最小化，包括企业发布的招聘JD、向在这些公司供职的学长学姐们打听等等，争取找到自己心仪的、觉得自身能力也能与之匹配的岗位，这样一来，面试效果也就事半功倍了。在这里，也欢迎需要找工作的学弟学妹们找我来了解所在部门的具体岗位信息。

   SPRING  FESTIVAL   

这也是一个双选的过程吧，其实吧，我当时找工作比较佛系，并没有海投过多公司。也是根据自己的能力、岗位兴趣等综合选择了几家公司相应的岗位去面，包括蚂蚁光年、360 alphalab等。像华为的话，之前也聊过几个部门，比如2012中软、终端奇点、无线、云核。最后，我选择了云核，这并不是说其它公司或华为的其它部门不好，而更多的还是因为自己当时想往安全能力固化、安全技术工程化、解决方案化的方向发展，想从单点攻防延伸学习全面的企业安全检测防护体系是如何构建的。正好了解到现在的部门在安全工程能力建设上有较优秀的实践，而且在动静态程序分析上也有一些积累，与我研究生时期的研究方向非常匹配，就决定过来了。

到现在，我已经工作了差不多两年了，整体的氛围还是很不错的，遇到问题也可以互相求助。工作内容的话，相对比较有挑战也很有意思，因为我们部门相当于是整个云核产品线的安全能力中心，研究的对象除了产品代码安全，还有很多与电信业务相关的前沿安全课题和安全风险，包括像现在比较火的大模型，这就要求我们具备快速学习业务、基于业务洞察安全风险的能力。

   SPRING  FESTIVAL   

这个其实没有特别担心过。虽然说进来的时候是处在一个比较高的级别上，因此考核的时候也是和很多有经验的部门前辈一起拉通考评，当时还觉得一切挺新鲜的。不过好在我在实验室期间较大幅度地提升了自己各方面的能力，逐渐对自己产生了足够的信心，觉得最差也就是从零开始嘛，一步步来总会追上的。我觉得吧，不管哪个企业都一样，有压力就有动力，所以不用特别担心，另外呢，也可以提前了解清楚部门的绩效考核细则是怎样的，达到了什么标准就可以获得比较好的绩效等等，可以主动与自己的主管沟通获取这些信息，朝着奋斗目标去努力。在这个过程中，也要注意与主管对齐项目目标进度，避免跑偏，剩下的就交给时间见证就好啦。我会继续踏实努力，与同事们继续团结协作，积极为祖国、社会和单位贡献力量，永远不忘母校的培育之情，携手大家共同奔向“二三星斗胸前落，十万峰峦脚底青”的美好前景。

   SPRING  FESTIVAL   

对我来说，最大的变化应该是企业重结果、重落地，而学校做科研更看重工作方法的创新性，以及在解决问题上该方法是否适用。比如我在负责产品线安全工程建设的时候会发现，大家关心的更多的是这个技术能不能在产品上落地、落地了怎么给产品带来价值、怎么衡量对产品的影响（如误漏报率、覆盖率等）、能不能融入流程、对开发人员的易用性等等。针对项目的话，相对来说企业会有更加严格的流程，像有IPD（集成产品开发）流程，包括立项、方案设计、路标制定、目标达成情况等等都会评审决策。平时项目推动方式的话，包括但不限于进展例会、组内讨论、月报，不过这些只是作为一种项目管理手段，关键还是要看最终成果。

对于自身能力和工作日常事务，确实是比较有挑战的事情，特别是现在自己也在带小组。幸好在实验室带项目期间也帮我积累了很多经验，现在在华为，我也对应地承接了一部分团队管理和周边协作的事务。总的来说呢，我的经验是把手头的事情排好优先级，定期跟踪各个项目进展，加强快速学习的能力，在参与的项目中快速补齐短板，学以致用将其转化为项目的成果。俗话说实践出真知，我的建议呢，就是利用项目本身的机会，争取实现自身能力的快速提升，我觉得吧，不管是做科研还是工作，这个道理都是适用的，也是相通的。最后，我想和大家分享一句诗，与大家共勉：肩鸿任钜踏歌行，功不唐捐玉汝成。感谢大家，祝大家前程似锦，保重身体！

   SPRING  FESTIVAL   

张源，复旦大学计算机科学技术学院教授、博导，白泽战队指导老师。入选教育部青年长江学者、上海市基础研究特区计划、上海市启明星计划，获得ACM SIGSAC中国新星奖、USENIX Security杰出论文奖等荣誉。研究工作主要发表于网络安全顶会，担任IEEE S&P、ACM CCS、USENIX Security、NDSS、USENIX ATC等会议程序委员会委员，Empirical Software Engineering（EMSE）编委、软件学报专刊特邀编委。