怎么看待现在的网络安全圈子？

本文摘录洞源实验室对知乎同名问题的回答：https://www.zhihu.com/question/480245432/answer/98109572941

既然是“看待”，那么当行业内的人听到“网络安全”的时候，脑海中会出现这样的画面。

至少笔者脑海中会有这么几幅画面：

1. 一名刚参加工作不久的工程师用着国外或开源的产品或工具紧张地忙碌，墙角是早已盖满灰尘的自家安全产品，公司的市场部也没闲着，正在紧锣密鼓地构想华丽的辞藻宣传自己的产品和服务。

2. 某安全产品的产品经理又收到了来自客户或渠道的反馈，对方想在产品中增加一些用户交流的功能，方便集团各个操作人员的互动，思索片刻后，产品经理便看着桌面的微信界面投入了原型图的制作。

3. 一个渗透工程师又匆匆看了一眼数十个公众号列表里新推的文章，不足1000字的文章里介绍了一种新的渗透技巧，匆匆撇过一眼发现原来早就看过，并在最后的1/3篇幅里看到了卖课的广告。

另一个工作几年的工程师发现小工具用来用去就这么几个，突然灵感一现，为何不自己打造一个“要你命3000”呢？于是看着网上的教程和代码，一点一点写了一个工具合集，看着最终的成果也不好独乐乐，不如放GitHub开源吧。

当然，也会有这样一幅画面：

1. 刚坐回办公室的CSO，回想着开了一天的会议，实在需要喘口气，看着手头的等保、密评文档，想起还有一些工作需要下面落实，于是叫了一个工程师进来，问起一个月前的漏扫结果：“这个严重漏洞怎么只有五个，还都是RCE漏洞，这样无法体现我们安全工作的结果，要继续努力多挖几个诶克思诶思诶思漏洞才行。

总结起来，就是：

* 不透明：产品/人员的质量、效能和效果与价格的关系不透明，甲乙方之间的症结在此；

* 不专业：产品人员对于安全的理解、认识不专业，技术、技能不专业，研发和安全隔绝大；

* 不客观：利益导向，唯我最佳，刻意制造许多概念和词汇糊弄客户选择并不适合它的产品/服务。