如何重塑中小企业运维价值
|
这个例子的原型为:某中间件 Bug,内存无法自动释放.起初的现象是每隔5天应用崩溃,后来审计这个开源的中间件,一段内存垃圾回收机制有问题,遂改之,大并发测试,再后来30天也没有出现过崩溃,一直稳定运行了2年,直到业务替换.
什么叫性能,企业要你来是提升性能还是降低性能?提升能提升多少?性能如何把控?服务器硬件我们要留多少冗余,多少报警?你当真做过思考吗?还是到点下班,之后撩妹吃饭喝酒睡觉手机关机? 上面提到5台 apache 的业务,使用2台 nginx 支撑,还有冗余,这是由于瓶颈落在了应用程序本身的机制上. 那么,你也许会说,如果落在了磁盘 IO 或网络 IO,不是照样不能精简吗?对的,有些钱省不掉,但关键是,如何让企业把钱花对,这才是你的价值体现,不是吗?
终于要说一下安全了,我做了十多年的渗透,多少还是有那么点发言权的.我们结合企业自身来思考一下,安全是否属于测试的范畴?我想在某些场景下是的. 比如,我们在公司内部,拿到上级部门的授权(比如老板,技术负责人),公司业务对我们而言,可以做白盒,也可以做黑盒.而渗透,只是一种黑盒测试的方法,仅此而已. 那么,漏洞又是什么?漏洞源自于程序员写的 Bug.企业不可能要求所有的开发都是大神,所有的程序员也不可能不犯错.有些环节,还是会疏忽的. 我就遇到过,一个做了6年的 Java 技术经理,公司业务的有些核心组件是他实现的,信誓旦旦拍着胸脯带着讥讽的语气告诉我,“你测试也是浪费时间,绝对没有问题,你要能找到漏洞给你加薪……” 我当时很想抽他的脸,但我还是天真的信了他的话,因为我知道,绝对没有“绝对”.当我用调试器(Fiddler)改了上传请求,把 WebShell 扔服务器上时,拿到的居然是 root 权限,连提权都省了. 然后转过头来给运维团队的同志们解释为啥不能怕麻烦,不要用 root 帐户启动容器(Tomcat).那哥们儿傻脸了,但我依然给足了它面子,这点我还是懂的. (编辑:晋中站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
