Parisa Tabriz,管理 Google 的 Chrome 安全工程团队,并且在今年的 PyCon US 上做了主题演讲。
她的演讲平稳、信息丰富,并且包含了关于每个人在互联网安全和隐私方面的既得利益的强有力的 FOSS 信息。演讲结束后,我看到她接受了观众的提问(时间足够我开一个简短的电话会议),她耐心且熟练地回答了从初级到高级的各种问题。
像 911 接线员、外科医生或星舰飞行员这样处理过危机和高压的人,在任何情况下都会散发出一种沉稳的气场。仅仅是听到她的主题演讲,以及之后观看她与观众的问答,我就感到更安全了,你可以感觉到那种坚定的禅宗轨道在调和 Parisa 的举止和言语。精英主义是共识的障碍,她对安全链完整性的关注——其强度仅与最薄弱的环节相当——是对所有网民的关注,而不仅仅是黑客。所有的船都必须随着潮水上涨,我确信知道 Parisa 在守望以确保它们这样做,我睡得更香了。
她很友善地在登机前抽出时间与我进行了一次快速的问答。
你来自哪里?
伊利诺伊州芝加哥地区。我生命中的前 21 年在伊利诺伊州度过,然后搬到加利福尼亚州在 Google 工作。我从小就没有接触过电脑,我的家人从事医疗保健行业。高中时我玩电脑游戏,在即时通讯工具上聊天,但对“魔法盒子”以及它们的工作原理知之甚少。
时机成熟时,我选择了伊利诺伊大学厄巴纳-香槟分校的计算机工程专业,并认为学习计算机将是一个好主意。我自学了 Web 编程,并且一度拥有一个被黑客入侵的网站。我当时在一个 Web Monkeys Group,了解网站是如何被黑客入侵的,这让我对安全产生了兴趣,我加入了另一个学生团体。最终这让我对安全产生了兴趣。
当时,大学里没有任何关于安全的正式课程,所以我学到的大部分知识都来自朋友、信息演示和一起实验。我已经开始参与一些让我想起开源的事情,以及协作环境,以及为了创造而不是仅仅为了经济利益而共享信息。我很幸运能在信息安全领域找到一个早期的社区,并且知道你可以一起解决问题和解决方案,这帮助我度过了学位和工作中的挑战时期。
工作?
我的第一份实习是在桑迪亚国家实验室。它是网络安全智库的一部分。我们有一系列广泛的项目,我参与了一个无线安全项目,该项目要求我阅读 WiFi 规范和驱动程序——一些是开源的,一些不是。在我们的实验室设置中,我们使用 Atheros 驱动程序来编写我们自己的驱动程序。我从查看开源实现中学到了很多东西,我们能够使用它来控制接入点。网络安全是我最初关注的重点。
我想获得更多经验,所以我第二年在 Google 工作。我最终放弃了博士学位 全职在 Google 工作。当我加入时,这是一个由聘请的黑客组成的团队,他们试图使产品更安全。这是一个广泛的目标。我们使用大量的 FOSS,并且我们也有许多 Google 特有的技术。这需要在快速评估全新堆栈的安全性和与大型 FOSS 项目保持平衡以及安全在那里如何发展之间取得平衡。Linux 是其中之一,但 Web 模板和其他 Web 技术也是如此。我对收购进行了安全审查,这让我接触到了各种基于定制和开源项目构建的业务和技术。
您加入时团队有多大?
我加入时团队有八个人。现在已经发展到几百人。我成为了该团队的经理,但后来调到 Chrome 做一些完全不同的事情。
Chrome?
它是面向客户端的,但它也是完全开源的。大多数开发人员仍然受雇于 Google,但并非全部。
(我在 红帽 工作,所以我明白这是怎么回事。我们都笑了)
这真的很令人兴奋,并且由于以下几个原因而具有挑战性:开发文档完全向世界公开。这既令人兴奋又令人畏惧;你将你的互动暴露给 Google 以外的广泛而多元的公众,这在当时是很大的。能够更广泛地在 Google 之外分享真是令人兴奋。看到人们如何使用 Chromium 构建其他东西真是令人兴奋。有很多公司使用 Chromium 渲染引擎,以及其他从 Chromium 分支出来的浏览器,并且我们在 Google Chrome 上做了令人兴奋的事情。超越 Google 对浏览器的愿景工作真是令人兴奋。
在 Google 之外呢?
我成为经理部分是因为作为一名经理,我更多地思考文化、人和创造技术的人类。我对多样性越来越感兴趣。是的,我是一名女性,我有自私的理由,但我对跨领域提供更广泛的问题解决方案感兴趣。在安全方面,我们还没有达到目标。我真的很有兴趣与那些对人为因素、产品设计以及你在安全会议上看不到的人感兴趣的人交谈。我对那些不认为自己是安全专家,而是其他软件工程学科的人感兴趣。让他们与/在安全领域工作,他们会更好地理解工作流程中存在哪些类型的缓解和防御措施。文化和多样性很有趣。
与孩子们一起工作,在初中年龄段,思考他们想成为什么样的人,高中和大学要上什么课。在电视和电影以及董事会中,对于你需要长成什么样才能参与技术,存在一种刻板印象。我们有一个小组,CS and Tech in Media,他们与好莱坞的人合作。我曾与奔腾年代的创作者交谈过,例如,该剧包括强大的女性主角,这是一部 Netflix 连续剧。
使安全更平易近人和多样化非常重要,因为我们需要每个人都考虑它。不仅是人,还有制定政策和法律的人。
我真的会偶尔完全远离技术,去公路旅行,攀岩等等。我打算去国家公园转转,远离信号范围。获得视角,焕然一新。
我喜欢制造东西,我喜欢像黑客一样破坏东西。创客运动,我喜欢 instructables.com, 为了制造某物而制造不存在的酷东西是我喜欢的事情。
我也是美国数字服务的顾问,该服务是在 Healthcare.gov 危机之后成立的。我曾以安全专家的身份为他们提供咨询。我不仅会进去谈论安全和技术,还会进行公民黑客行为。让政府采用“尽早发布,频繁发布”的文化使许多技术受益匪浅,与此同时,也了解了治理是如何运作的。我离开了这些项目,并开始欣赏我过去认为完全是官僚主义的东西。Alex Gaynor 是邀请我的人。
结论?
我认为安全不能也不应该留给专家。一群人让网络安全归根结底是质量和维护——远不如创新那么性感——并且是社区的结果。很多人,不断地修复和改进技术。入门门槛仍然太高。我们需要帮助。你的观点很有价值,无论你是刚开始学习,还是已经从事这项工作 40 年了,这都是你独特的视角,你可以为软件质量和使其更安全做出贡献。
4 条评论