从恶意软件斗士到合规与安全总监的转变

介绍：

在这篇博客文章中，我想分享我的职业旅程——从一名在反恶意软件领域奋战了35年的专业人士，到如今成为一家名为Massive的软件初创公司的合规与安全总监。我将深入探讨为何做出这一转变，以及Massive如何在用户隐私、安全性和诚信方面开创一种全新的货币化方法。在此过程中，我希望能够提供一些见解和灵感，激励你们前行。

转变：

大约两年前，一位同事向我推荐了一个引人入胜的机会。一家初创公司正在寻找一位具有反恶意软件领域丰富背景的人才，但令人疑惑的是，这个职位是合规总监。起初，我感到不解：合规与反恶意软件有什么关系？随着我进一步了解这家公司的运营情况，我发现Massive致力于开发一种以用户安全与隐私为核心的货币化模式。

他们的想法简单却极具突破性——类似于SETI at Home模型，他们希望通过Massive Software Engine，让软件供应商能够让用户选择自愿参与，将用户的闲置资源作为“产品”，而不是将用户本身作为产品。

探索安全领域：

恶意软件的生态已演变为一个以利润为导向的行业，而Massive的引擎也包含了一些相似的功能。Massive在招募计算机并利用其闲置资源方面的创新并非全新。然而，这也带来了一个显著的挑战：如何在反病毒行业的眼中将我们与“坏人”区分开来？我的职责是确保我们以公开、道德和安全的方式运营。这包括严格审查业务合作伙伴和软件功能。我并非传统意义上否定一切的“合规先生”，而是将自己视为公司声誉的守护者。

与反恶意软件行业的合作：

我们的初步挑战之一是与反恶意软件行业合作。许多主机安全产品对货币化模式持天然怀疑态度，认为其不安全且具有滥用性。因此，我们的首要任务是与行业沟通，寻求反馈，并与销售和工程团队合作制定新标准。这包括实施内置限制功能，以及取消用户可调的资源使用限制（将资源使用限制为启用或禁用），以确保对终端用户体验的最小影响。

提升产品安全性：

我们还特别关注何时以及如何显示通知并征求用户同意。通过增加防护措施（如防止未经授权复制注册表条目和文件目录），我们进一步提升了产品的安全性，从而避免在未获得用户同意的情况下静默安装。此外，我们还需要解决一个未经授权的分销商问题，该分销商将我们的合法应用程序与可疑软件捆绑在一起。在整个过程中，我们与AppEsteem合作，确保符合其认证标准并使我们的应用程序获得认证。

总监的职责：

在面试中，我了解到我的总监职位将直接向CEO汇报，并独立于销售、市场和工程部门，同时拥有否决权。这体现了公司对道德实践的高度重视，这也是吸引我的一个重要因素。

传统货币化模式的弊端：

回顾传统货币化方式（如广告软件），我看到了其固有的不安全性。这些模式让用户面临潜在的恶意广告和“驱动式感染”的风险，从而危害用户隐私与安全。而Massive希望以不同的方式运作。

Massive的货币化方法：

对于Massive而言，货币化是一个不断演变的过程。合作伙伴服务经过严格审查，以确保其合法性与道德性。我们起初提供加密货币挖矿与管理服务，但由于盈利能力的限制，转向了分布式代理服务。为了增强安全性，我们实施了严格的限制，并将访问筛选限制在特定网站类别。

多样化的应用：

我们的模型在从网络健康监控到网络安全情报等方面具有多样化的应用。我们与反恶意软件测试标准组织（AMTSO）合作，进行网站抓取以测试用途。这使我们能够识别恶意软件和钓鱼网站，测量主机安全产品的检测时间等。

超级计算机的力量：

最让我着迷的问题是：“如果你拥有超级计算机的能力和全球网络的支持，你会做什么？”这个概念突显了Massive方法的巨大潜力。

结论：

转型成为Massive的合规与安全总监对我来说是一个轻松的决定。它融合了开发者对货币化的渴望、终端用户对侵入式广告的厌恶，以及安全研究员对道德侦察的需求。这个开创性货币化方法的潜力显而易见，我希望成为实现这一愿景的团队的一员。

在接下来的博客文章中，我将深入探讨Massive旅程的具体方面，并探讨软件行业中道德货币化的更广泛意义。敬请期待更多见解与更新！

‍