这个问题思考了很久，到目前为止我自己还没有标准答案。评价是工作中不可避免的动作。虽然字面上有很高的审视意味，但人们往往无法避免自我评价。尤其是职业生涯发展到中后期，随着等级的提高，你的上级注定无法在专业领域超越你。上级对高P有一个潜在的期望，就是你最好告诉我，我应该如何评价你的工作，让外行听起来符合逻辑。不能做好这件事的高P注定不会舒服，至少不能得到期待的信任、资源，以致不能开展自己认为正确的工作，进而导致工作效果不佳，背锅黯然神伤。

因此，这些年来，我一直在拷问自己。当我只负责一个小工厂的大部分安全功能时，我觉得我没有被这个问题困扰太多，因为人够少，所以任何问题都可以用安全不是绝对的来搪塞过去不是绝对的100分，这是当时的通用答案。当我负责一个大工厂的垂直功能时，我并没有被这个问题所困扰。因为我的上级大概会给我一个通俗易懂的目标。比如反入侵，需要xx%以上的真实发现率。有一次，我设身处地的幻想，如果我当时承接了隔壁的团队，比如SDL团队，那么他们的目标也比较简单，当公司业务高速发展时，漏洞的绝对量是否能够持续稳定地控制。与乌云相似的平台相比，对比得出我们比同规模的公司更少(相应的资源相似)。然而，当我负责整体基本安全(传统安全)时，我突然发现这个答案变得困难了。

所以，在刚入职不久的半年报告中，我遇到了这个问题，CTO问我，你给自己打了多少分？我仔细评估了当时的状态，一切都刚刚开始。虽然有阶段性的进展，但离我心目中能做到的目标还是很远的。因此，我回答说，根据施工效率和质量，80分以上，但根据实际的风险控制能力，我认为还不及格。后来，我得到了上级的指导：好不好，不仅要看实际的风险控制能力，还要看跟谁比。恍然大悟，但为时已晚。有时，面对公司高层的沟通机会并不多，印象分一旦错过，就很难再找机会来弥补。因此，今天，我试图将这段时间的思考，做一个简单的记录。首先，结论:安全工作的质量取决于认知的准确性、投资的合理性和实施效果的综合评估。它不仅要结合公司的实际情况，还要横向对行业进行对标，这是有意义的。认识的准确性，投入的合理性。执行效果。行业对标一是认知的准确性。

安全工作100%的安全工作，这句老生常谈成了许多明明能做好，却没做好的劣质工作挡箭牌。四哥有一句经典的话，在安全圈老一辈从业人员中很受欢迎，叫你真的尽力了吗？，尽力与否，并不完全取决于个人是否努力。曾有一段鸡汤段子，说小男孩被要求处理一块石头，这块石头明显超出了自己的能力范围，而大人说，他还没有尽力，因为至少小男孩没有向大人求助。比方说，在处理公司安全漏洞时，经常有人说我一开扫描器，生意就闹，出了事故，不让我扫，所以我不敢扫。可是公司出了漏洞，明明扫描器可以找到，他们不让我扫，却怪我没用。因此我委屈，因此安全工作做得不好。那是一件经典的明明能做好，却做不好。

我刚加入现在的团队，扫描器的安全运营同学就这样反馈给我，扫描器的开发成功后，我进公司前的两个月，做了一次国庆节前的保障临时扫描。实际上，如果知道变更管理上述工作可以遵循变更流程，进行风险提示，变更知识，灰度进行，通过业务改造监视逻辑，事情可以继续。最后，我们很快就完成了黑盒扫描器定期开启运营的工作，就像很多优秀的同行一样。最后，公司有了相应的漏洞检测能力，在SRC反馈新漏洞时，有了复盘的基础——如果没有定期运营，我们甚至没有资格复盘。