36核心安全与效率工程技术的两个核心维度.pdfVIP

2018/10/24 极客时间 | 程序员进阶攻略 讲堂 程序员进阶攻略 文章详情 36 | 核心：安全与效率——工程技术的两个核心维度 2018-10-24 胡峰 36 | 核心：安全与效率——工程技术的两个核心维度 朗读人：刘飞 07′58′′ | 3.66M 在“修行：由术入道”模块的最后一个主题，我们聊聊工程，不是具体的工程的技术，而是抽象 的工程之道。 做了很多年的工程，开发了各种各样的系统，写了无数的代码，说起这一切，我们都在谈些什 么？ 我们谈过程，从需求工程到开发流程，从编码规范到同行评审，从持续集成到自动部署，从敏捷 开发到极限编程；我们谈架构，从企业级到互联网，从面向服务架构（SOA）到微服务架构 （Microservice）；我们谈复杂性，从高并发到高性能，从高可用到高可靠，从大数据到大容 量。 那么对于这一切，你感觉这里面的核心是什么？ 核心 核心，意味着最重要的，一切复杂的工程技术方案都是围绕着它来运转。 /column/article/42517 1/7 2018/10/24 极客时间 | 程序员进阶攻略 在深入核心之前，我们先讲一个电力行业的故事。虽说电力项目我没做过，但电站大概的工作原 理在中学物理课上就已经学过了，原理很简单。虽理论上是这么说，但现实中看到那些大规模的 电站后，还是感觉很复杂的。 故事是这样的：记得有个给我们上课的主讲老师是个须发皆白的老先生，进门后掏出一堆零件放 在讲台上。一盏酒精灯、一个小水壶、一个叶片、一个铜光闪闪的小电机、一个小灯泡。老先生 往壶里倒了些水，点燃酒精灯，不一会儿水开了，从壶嘴里喷出了蒸汽，带动叶片旋转，然后小 灯泡就亮了。 老先生说：“这就是电厂。如果烧的是煤炭，这就是燃煤电厂；如果烧的天然气，这就是燃气电 厂；如果获得热能的方式是核裂变，这就是核电厂；如果带动叶片的能量来自从高处流向低处的 水流，这就是水电厂。” “你们或许会问：那我们看到的电站怎么这么复杂？答案其实很简单，电站需要复杂系统的目 的：一是为了确保安全（Safety），二是为了提高效率（Efficiency）。安全与效率的平衡，是 所有工程技术的核心。” 听完这个故事，我觉着所谓 “大道至简” 大概就是这样的感觉了。 安全 安全，之于信息工程技术领域，包括了 “狭义” 和 “广义” 两个方面的安全范畴。如下图所 示： /column/article/42517 2/7 2018/10/24 极客时间 | 程序员进阶攻略 /column/article/42517 3/7 2018/10/24 极客时间 | 程序员进阶攻略 工程 “安全“ 的狭义和广义分类 狭义的安全，就是传统 领域的 “安全攻防” 范畴。比如，客户端的跨站脚本攻击 （XSS）、服务端数据库的 SQL 注入、代码漏洞以及针对服务可用性的拒绝服务攻击（DDoS） 等。这个方面的 “安全” 含义是信息技术行业独有的，但前面电站例子中指的 “安全” 更多 是 “广义” 层面的。 在程序技术上的 “广义” 安全范畴，我划分了三个方面： 开发 运维 运行 安全开发 ，就是为了保障交付的程序代码是高质量、低 Bug 率、无漏洞的。从开发流程、编码 规范到代码评审、单元测试等，都是为了保障开发过程中的 “安全”。 安全运维 ，就是为了保障程序系统在线上的变化过程中不出意外，无故障。但无故障是个理想状 态，现实中总会有故障产生，当其发生时最好是对用户无感知或影