前景：
入职3年多，第三次组织全体研发进行培训，从第一次的紧张，到后面的游刃有余，再到后面说话过大脑，深知这都是经过一遍又一遍的训练才有的肌肉记忆，21年度的安全技术培训，其实是一个比较艰辛过程，稍做描述，记录及反思。

步骤：
1、前期调研培训人员范围

• 集团层面，研发中心（泛研发群体）在20年的时候，全部为上海总部，也且只有800+人，组织了大概6场现场的安全培训。
• 而21年度，困难度明显提高，经过调研，全国多研发场地，微盟总部、大虹桥、漕河泾、无锡、杭州等都有场地，共计1800+人。

2、组织及宣传

• 课程及考试：依然采取1h30min的课程，30min的考试，并且考试题为题库随机，困难度阶梯递增。
• 上课形式：因全国多研发，无法实现皆线下的培训，即采取上海总部线下+其他分子公司线上，限时签到。

3、课程PPT及试题准备

• 课程PPT准备：本次课程分为了3个方向：项目管理&产品经理方向、测试方向、研发&运维&IT方向，对于不同的方向引用了不同的案例。
• 如项管产品方向：结合了时下有关于产品隐私合规法规及论题，邀请了第三方做分享，主要解决产品合规方向，从法律出发，哪些可为哪些不可为。随后再安排内部的培训，从设计角度来宣传安全产品理念。
• 如测试方向：安全测试，一半安全，一半测试，所以安全测试的方法大部分都是从测试概论中衍生而成。针对测试方向的培训，更偏重于结合少许业务场景，传授如何进行安全测试，要掌握哪些安全测试的点，以及安全测试用例的讲解。目标是测试通过学习，掌握更多的技能，解放部分安全测试的能力，形成多轮check，早发现问题，早闭环问题。
• 如研发方向：对于前后端的配合、接口安全、中间件反弹shell、网络劫持重点进行实际案例演示，加深安全技术理念的建设。
• 试题内容：充分契合PPT，并且需要保障所有的内容都要在所讲的范围内，不做引申及加深，因为不是所有的非安全人员都有那么多充足的思考，如果后续作为靶场或者奖励性题目可以加深。

4、现场安排

• 如现场：提前预定会议室、提前布置场地，提前半天测试设备，留足充分时间调试。
• 网络直播：需要线上线下沟通一致，但由于现场演讲，直播的设备能否较好的拾音需要考究。
• 签到、主持、时间把控、演示辅助都需要控制好整体进度。做到不超不少，时间把握刚刚好。

5、培训完成后总结及颁奖

• 培训完毕后，考试成绩公布，不通过考试的安排补考等。
• 对双满分个人、均分排名前三的部门进行表彰，并张贴文化墙及公文推广。

成果与反思：

• 改善：通过培训，钓鱼邮件反馈率、异常协查率、安全需求（主动安全测试及申请培训等）明显的提高。
• 改善：安全部门，有惩罚，也有奖励，完美解决了20年培训的遗憾。
• 思考：参与度，如何与绩效关联，如不参与培训或者成绩未达标者不符合年度晋升、季度评优资格。
• 思考：是否可以落地安全积分平台，通过月度安全宣贯参与、靶场练习、视频学习及课后考试等多种方式参与积分兑换奖品等。