Как я стала продактом, не входя в айти
Это конечно кликбейтный заголовок. Инфобез, в котором я всегда была, считается за ИТ, меня даже могут попросить настроить принтер, роутер и дефейснуть сайт. Но важно отметить, что ИБ совсем не про разработку. Здесь другие процессы, другой подход к решению задач. Я очень смутно представляла, что такое скрам, agile и зачем на самом деле нужна Jira. Пентестила себе и все. 20-минутные конфы по утрам? Пфф, зачем? Я так-то пентестер.
15 показов
548 открытий
Продактом затруднительно стать сразу после универа. Нужно понимать бизнес процессы, запросы заказчиков и клиентов, как работать с командой, что говорить стейкхолдерам. Да и здравый смысл для решения рабочих задач приходит скорее с опытом, чем с красным дипломом. Я это к тому, что бекграунд роляет.
Одна из задач продакта — «переводить» идеи с бизнесового на разработческий. Чтобы переработать идеи нужно понимать, откуда они взялись и зачем могут понадобиться на самом деле. В итоге задача по переработке идей зависит от бекграунда и жизненного опыта, которые у меня были весьма специфичные. Ниже установки из пентестерской жизни, которые повлияли на начало моего продактовского пути.
Если это есть в интернете, то я найду
Умение гуглить и находить ответы нужно всем специалистам с долей аналитики в работе. Следующий уровень — уметь гуглить на английском. Необходимый мне уровень при проведении тестирований на проникновение — уметь искать информацию на китайских форумах или осинтить «кличку домашнего животного» по имени пользователя.
Разница между пентестером и продактом в том, что пентестер ищет конкретную сущность и проблемы имеют фиксированное количество правильных решения, а продакт создает сущность, и 100% правильных решений проблем нет.
Нужно проэксплуатировать уязвимость — значит нужно найти работающий эксплойт (или написать самому). Нужно решить продактовскую задачу? Ну вот дружочек тебе пачка самых разных подходов и нет того самого «правильного ответа». Хочешь научиться приоритизировать — вот 150 моделей. Как оценивать параметры — решать тебе. Например, в модели RICE есть параметр «Уверенность». «Уверенность» — это абстракция, а не факт. И в продуктовых подходах достаточно таких абстракций, и подходов, опирающихся на субъективные оценки.
Если что-то не работает, то проблема во мне
При проведении пентестов у меня многое не получалось. Неправильно написала конфиг-файл, неверно поставила точку, нагуглила решение для младшей версии, накосячила с переводом, не так заполнила поле. Мой факап — мне и фиксить. Моя задача — мне и решать. Раньше я перетаскивала свой пентестерский опыт на пользователей своего продукта. «И чего он жалуется? Не может настроить фильтры правильно? Пусть старается лучше, есть ведь гайд!». К счастью я так же быстро нашла в себе толерантность к человеческим проблемам. Если у моего пользователя возникли трудности, то я придумаю как упростить взаимодействие, а не заставлю его искать обход.
Если что-то пошло не так, то я здесь главный злодей
Упал сайт? Виноваты пентестеры. У топа что-то пошло не так? Виноваты пентестеры. Сервак ушел в ребут? Ну в общем вы поняли. Да, бывает и проблема на стороне технического эксперта, но не в 100% случаев. Для некоторых заказчиков я долго была в роли «главного злодея». И занимала оборонительную позицию. Приходилось доказывать, что эксплуатация состоялась успешно, показывать логи, хранить архивы скриншотов и так далее. В общем характер закалился. На каждое «но», «ващето» и «возражаю» был пак простых и вразумительных ответов.
Я больше не главный злодей, а опыт оборонительных диалогов остался. Над тем, чтобы избавиться от ощущения недовольства со стороны оппонента в дискуссиях работаю. Терапия проходит успешно
Эмпатия — это что-то на софт скиловом
Я специализировалась на социалке. Фишинговые письма, звонки от службы безопасности, «пропустите на территорию, я забыла пропуск» — это моя тема. Хорошое фишинговое письмо — хорошее рекламное письмо. Просто ведет не к покупке, а к вводу данных. Я была уверена, что раз могу соврать кому угодно и мне ок, значит и эмпатии у меня нет.
В то же время проявлять эмпатию, понимать чувства и эмоции клиентов, команды и стейкхолдеров — один из ключевых навыков хорошего продакта, которые не воспитываются книгами и вебинарами.
Но если разобраться, то навык «понимание» используется в атаках методом соц. инженерии. Так что я несколько лет качала эмпатию, а не убивала ее. И такой опыт вряд ли можно получить будучи разработчиком.
Пентесты конечны, продукты нет
Пентест любой сущности конечен. Есть множество подходов и методик, например, поискать уязвимости из Owasp TOP 10, или проанализировать код по чек-листу. В некоторых командах есть собственные разработанные методики. Пентестер движется от «Ничего не проанализировано», до «полностью изучил сущности и нашел вот такие недостатки». Развитие продукта никогда не завершается. Продукт масштабируется, добавляются новые фичи, расширяется ЦА. Даже MVP живой, постоянно трансформируется и уточняется. Что значит «полностью готовый» продукт никто не знает. Пентест ограничен сущностью, работа с продуктом это почти неограниченное «делай, что считаешь нужным». К этому я не адаптировалась до конца и иногда хочется увидеть «отчет с подписью заказчика». Понять, что путь завершен.
Ну и напоследок, Long story short: продактом я стала случайно. Про эту случайность пишу в канале
Что такое роляет
Войти
Нет аккаунта? Зарегистрироваться
Авторизуясь в LiveJournal с помощью стороннего сервиса вы принимаете условия Пользовательского соглашения LiveJournal
Luo Biming
December 15th, 2004
100101100
[. ]
У меня, как свидетельствует статистика, 296 френдов. Так и круглое число пропустить недолго. Я понимаю, что круглое оно вовсе даже от того, что мы по недоразумению выбрали десятичную систему счисления. А могли бы выбрать и какую-нибудь иную. Вон, как в заголовке — двоичную (кстати, умные математики, я правильно перевела 300 вот в это непотребство с нулями и однерками?).
Не исключено, что у палестинского Берии-2004 окажется сходная установка. Тем более, что радый обманываться Барак снова лезет во власть, сделав ставку на фирменную общеизраильскую амнезию.
Стоит ли переводить «dinner» как «обед» если происходит он часов в 7-8 вечера?
Перевод художественный, если это роляет.
срочным порядком поставил обратно два диска — Japanese Platinum и разговорник Talk Now! — и прогулину для запоминания и тренировки кан. а то еще медленно пишу, хотя уже не путаюсь ни в хирагане ни в катакане.
Пару раз сходил я по ссылкам — но понять так и не мог: то ли нам, слепошарым, глаза пытается открыть, то ли -тсс!, Фрейд отдыхает — все ищет и ищет подтверждений, что правильно сделал, покинув сей чумной барак, и чем дальше — тем правильней.
Что такое роляет
Искать фандом »
Искать фанфик »
Искать канон »
Искать персонажа »
Искать пользователя »
Войти при помощи
Комментарий к сообщению
28 августа 2021
Гилвуд Фишер, единственное, где это роляет — в намёках, что её собираются заюзать для естественного производства новых генобразцов и в моменте с Герой.
В плане, что будь это мальчик, там восприняли бы как намек на пейринг, а так сразу ясно, что девочки-подружки.
Актуальные темы
Лучший пост
Фанфикополис, прошу снова магии, и уже не себе. Один из подопечных младшей мисс на кошачьей выставке, чудесный котик Хаку, не помню, какой породы, сильно заболел. Кэрри будет возить его на капельницы каждый день, говорят, шансы пятьдесят на пятьдесят. Она очень переживает, и так этого котика на руках везла из одного города в другой, лекарства ему давала, уколы ставила. И я вместе с ней почти реву. Давайте все вместе спасать Хаку, пусть красивый и добрый кот выздоровеет!
Комментариев: 19
Поддержи проект рублёмЧтобы Фанфикс рос большим
VMWare Spring certification стоит или нет?
Всем привет. Хотелось бы услышать мнение людей обладающих данными сертификатами, стоило оно того или нет? в данный момент я так понял pivotal spring сертификацию больше не пройти (соотв. требуется пройти предварительно курс по Spring в одобренной VMWare компании ~ 2200 евро и только после этого попробовать сдать экзамен). Вопрос в том насколько это роляет или нет при поиске работы? в моей ситуации моя текущая компания работает на Dropwizard и Netflix OSS, соотв. когда я говорю где-то: «коммерческого опыта спринга у меня нет, но вот вам репозиторий с примером тестового которое я делал на спринге», воспринимается это мягко говоря не очень для синьорской позиции 🙂
соотв. моя цель как-то поднять свою привлекательность в этом плане и я вот думаю стоит ли тратить 2300 евро за возможность попробовать получить сертификат и дает ли оно что-то в плане привлекательности сейчас? или это просто бесполезная бумажка в глазах работодателей?
Подобається Сподобалось 0
До обраного В обраному 0
Схожі топіки
- Як проходити сертифікацію Azure та як це зробити безкоштовно, не витрачаючи $80
- Які сертифікати актуальні в 2022 році?
- Добірка курсів про блокчейн-розробку