内网研发,前端依赖我这样做

一、内网研发,前端依赖我这样做

1、在内网环境下进行前端研发时，依赖包的使用面临着挑战。本文将探讨几种解决方法，以便在没有公网权限和文件拷贝权限的局域网环境中，解决前端包依赖问题。

2、方案一：暴力方式，将依赖在外网安装后，由有权限的人员将`node_modules`文件拷贝至内网。这种方法简单易操作，但存在依赖文件过多、压缩速度慢、包体积大、多人同时研发操作复杂、增加了Git仓库存储空间等缺点。

3、方案二：利用NAS（网络附加存储）和`Verdaccio`，构建离线仓库。内外网间搭建类似于`Verdaccio`的缓存目录，并通过公共虚拟磁盘自动同步。在外部安装依赖后，等待同步完成，使用`npm install`在内网即可安装依赖。但可能遇到`Verdaccio`不全下载离线文件，需编写额外的Node服务监控并主动下载解决。优点是服务自动同步，仓库体积与外网一致，迁移方便，命令安装；缺点是同步时间长且文件可能存在冗余。

4、方案三：通过Node与`Verdaccio`结合手动拷贝，适用于高层人员能跨网传输文件的情况。需搭建离线仓库，并设置自动拷贝功能（结合GitLab实现），再使用Node编写离线依赖下载器。步骤包括提供UI界面、使用Koa制作后台接口处理上传文件或内容、解析依赖项、下载依赖包，并可选择压缩下载内容。

5、方案四：针对内网可访问公共有网机器的情况，利用`Verdaccio`实现单项代理，与有网环境基本一致。

6、总结：本文分享了克服内网前端研发依赖包使用挑战的几种方案，供研发团队根据自身条件选择最适合的解决方案。欢迎提出改进意见和交流更好的方法。

二、web前端不掉头发的学习方法

不掉头发的前端（这可能吗哈哈）

只要想学习哪里学习都是有效果的。但需要结合自身的一些特点来调整学习方向，这样学习起来会事半功倍，以下推荐3种学习线路，适用于不同的学习人群；

方法1：先学习编程，然后学习Web渗透及工具使用等

适用人群：有一定的代码基础的小伙伴

重点学习OSI、TCP/IP模型，网络协议，网络设备工作原理等内容，其他内容快速通读；

【推荐书籍】《网络是怎样连接的_户根勤》一书，简明扼要，浅显易懂，初学者的福音；如果觉得不够专业，可以学习图灵设计丛书的《HTTP权威指南》；

由于目前市面上的Web服务器7成都是运行在Linux系统之上，如果要学习渗透Web系统，最起码还是要对linux系统非常熟悉，常见的操作命令需要学会；

学习建议：学习常见的10%左右的命令适用于90%的工作场景，和office软件一样，掌握最常用的10%的功能，基本日常使用没什么问题，遇到不会的，再去找相关资料；常见的linux命令也就50-60个，很多小白囫囵吞枣什么命令都学，这样其实根本记不住。

【推荐书籍】Linux Basics for Hackers；

熟悉web框架的内容，前端HTML，JS等脚本语言了解即可，后端PHP语言重点学习，切记不要按照开发的思路去学习语言，php最低要求会读懂代码即可，当然会写最好，但不是开发，但不是开发，但不是开发，重要的事情说三遍；

需要学习SQL语法，利用常见的数据库MySQL学习对应的数据库语法，也是一样，SQL的一些些高级语法可以了解，如果没有时间完全不学也不影响后续学习，毕竟大家不是做数据库分析师，不需要学太深；

掌握OWASP排名靠前的10余种常见的Web漏洞的原理、利用、防御等知识点，然后配以一定的靶场练习即可；有的小白可能会问，去哪里找资料，建议可以直接买一本较为权威的书籍，配合一些网上的免费视频系统学习，然后利用开源的靶场辅助练习即可；

【推荐书籍】白帽子讲Web安全（阿里白帽子黑客大神道哥作品）

【推荐靶场】常见的靶场都可以上github平台搜索，推荐以下靶场DVWA、bWAPP、upload-labs-master、SQL-lib-master、WebBug、pikachu等，有些是综合靶场，有些是专门针对某款漏洞的靶场；

Web渗透阶段还是需要掌握一些必要的工具，工具的学习b站上的视频比较多，挑选一些讲解得不错的视频看看，不要一个工具看很多视频，大多数视频是重复的，且很浪费时间；

主要要掌握的工具和平台：burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具ssrs、hydra、medusa、airspoof等，以上工具的练习完全可以利用上面的开源靶场去练习，足够了；

练习差不多了，可以去SRC平台渗透真实的站点，看看是否有突破，如果涉及到需要绕过WAF的，需要针对绕WAF专门去学习，姿势也不是特别多，系统性学习学习，然后多总结经验，更上一层楼；

自动化渗透需要掌握一门语言，且需要熟练运用，可以是任何一门自己已经掌握得很熟悉的语言，都可以，如果没有一门掌握很好的，那我推荐学习python，最主要原因是学起来简单，模块也比较多，写一些脚本和工具非常方便；

虽说不懂自动化渗透不影响入门和就业，但是会影响职业的发展，学习python不需要掌握很多不需要的模块，也不需要开发成千上万行的代码，仅利用它编写一些工具和脚本，少则10几行代码，多则1-200行代码，一般代码量相对开发人员已经少得不能再少了，例如一个精简的域名爬虫代码核心代码就1-20行而已；

几天时间学习一下python的语法，有代码基础的，最快可能一天就可以学习完python的语法，因为语言都是相通的，但是学习语言最快的就是写代码，别无他法；接下来可以开始尝试写一些常见的工具，如爬虫、端口探测、数据包核心内容提取、内网活跃主机扫描等，此类代码网上一搜一大把；然后再写一些POC和EXP脚本，以靶场为练习即可；有的小伙伴可能又要问了，什么是POC和EXP，自己百度去，养成动手的好习惯啦；

此处内容要求代码能力比较高，因此如果代码能力较弱，可以先跳过此部分的学习，不影响渗透道路上的学习和发展。

如果希望在Web渗透上需要走得再远一些，需要精通一门后台开发语言，推荐php，因为后台采用php开发的网站占据最大，当然你还精通python、asp、java等语言，那恭喜你，你已经具备很好的基础了；

代码审计顾名思义，审计别人网站或者系统的源代码，通过审计源代码或者代码环境的方式去审计系统是否存在漏洞（属于白盒测试范畴）

那具体要怎么学习呢？学习的具体内容按照顺序列举如下：

掌握php一些危险函数和安全配置；

掌握1-2个代码审计工具，如seay等；

掌握常见的功能审计法；（推荐审计一下AuditDemo，让你产生自信）

常见CMS框架审计（难度大）；代码审计有一本国外的书籍《代码审计：企业级Web代码安全架构》，当然有空的时候可以去翻翻，建议还是在b站上找一套系统介绍的课程去学习；github上找到AuditDemo，下载源码，搭建在本地虚拟机，然后利用工具和审计方法，审计AuditDemo中存在的10个漏洞，难度分布符合正态分布，可以挑战一下；

至于CMS框架审计，可以去一些CMS官方网站，下载一些历史存在漏洞的版本去审计，框架的学习利用官方网站的使用手册即可，如ThinkPHP3.2版本是存在一些漏洞，可以尝试读懂代码；但是切记不要一上来就看代码，因为CMS框架的代码量比较大，如果不系统先学习框架，基本属于看不懂状态；学习框架后能够具备写简单的POC，按照代码审计方法结合工具一起审计框架；其实也没没想象中的那么难，如果你是开发人员转行的，恭喜你，你已经具备代码审计的先天性优势。

可能有人会问：“我代码很差，不学习代码审计行不行？”其实代码审计不是学习网络安全的必要条件，能够掌握最好，掌握不了也不影响后续的学习和就业，但你需要选择一个阶段，练习得更专业精通一些，如web渗透或者内网渗透，再或者是自动化渗透；

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；

如果想就业面更宽一些，技术竞争更强一些，需要再学习内网渗透相关知识；

内网的知识难度稍微偏大一些，这个和目前市面上的学习资料还有靶场有一定的关系；内网主要学习的内容主要有：内网信息收集、域渗透、代理和转发技术、应用和系统提权、工具学习、免杀技术、APT等等；

可以购买《内网安全攻防：渗透测试实战指南》，这本书写得还不错，国内为数不多讲内网的书籍，以书籍目录为主线，然后配合工具和靶场去练习即可；

那去哪里可以下载到内网靶场？如果你能力够强，电脑配置高，可以自己利用虚拟机搭建内网环境，一般需要3台以上的虚拟机；你也可以到国外找一些内网靶场使用，有一些需要收费的靶场还可以；

渗透拓展部分，和具体工作岗位联系也比较紧密，尽量要求掌握，主要有日志分析、安全加固、应急响应、等保测评等内容；其中重点掌握前三部分，这块的资料网络上也不多，也没有多少成型的书籍资料，可通过行业相关的技术群或者行业分享的资料去学习即可，能学到这一步，基本上已经算入门成功，学习日志分析、安全加固、应急响应三部分的知识也相对较为容易。

方法2：先学习Web渗透及工具，然后再学习编程

适用人群：代码能力很弱，或者根本没有什么代码能力，其他基础也相对较差的小伙伴

基础需要打好，再学习Web渗透比如linux系统、计算机网络、一点点的Web框架、数据库还是需要提前掌握；

像php语言、自动化渗透和代码审计部分内容，可以放在最后，当学习完毕前面知识后，也相当入门后，再来学习语言，相对会容易一些；

【优先推荐】方法2，对于小白来说，代码基础通常较弱，很多很多小白会倒在前期学习语言上，所以推荐方法2的学习，先学习web渗透和工具，也比较有意思，容易保持一个高涨的学习动力和热情，具体学习内容我就不说了，请小伙伴们参照方法1即可。

方法3：选择一些适合自己的课程学习

适用人群：需要体系化学习、增强实战能力的小伙伴

具体根据自身条件来讲，如果你自学能力较差，那建议选择课程学习，网上各大平台等都有很多各式各样的课程，是可以更快帮助你迅速入门的，然后再根据自己自身所欠缺的方面，不断去完善和学习，最后达到你所要的优秀水平。

Linux Basics for Hackers(中文翻译稿)

[PHP与MySQL程序设计(第4版)].W.Jason.Gilmore

Python编程快速上手-让繁琐工作自动化

代码审计：企业级Web代码安全架构

内网安全攻防：渗透测试实战指南

三、前端开发工程师工作总结

总结就是把一个时段的学习、工作或其完成情况进行一次全面系统的总结，它可以明确下一步的工作方向，少走弯路，少犯错误，提高工作效益，不妨坐下来好好写写总结吧。我们该怎么写总结呢？以下是我帮大家整理的前端开发工程师工作总结，供大家参考借鉴，希望可以帮助到有需要的朋友。

作为公司的网站前端开发和美工，20xx年本人主要负责的是经文保总队的各个系统的界面设计及动态页面制作，包括以下内容：

一、吉林省单位内部安全保卫平台内网及外网设计及制作，同时包括平台下边九个子系统首页制作（包括经文保综合管理系统、散装汽油销售管理系统、安保人员考试系统、高校少数名民族学生管理系统、考试服务系统、金融服务系统等）；

二、公安内网网站吉林公安经文保信息网整站设计及动态效果制作和后期维护；

三、吉林省单位内部安防信息网协同其他行政部门联合办公系统整站设计及动态网页制作；

四、系统内警踪平台整体界面制作；

五、经文保警用手机、平板app客户端界面设计及切图；

七、经文保管辖单位重点部位和检查项3D全景建模技术学习及制作，720云场景应用线上展示重点单位主要监控部位动态效果。

经文保之外的临时项目与任务，包括以下内容：

一、省移动公司处系统项目界面设计及制作，家庭宽带项目管理系统界面制作及相关临时项目需要制作；

二、省公安厅汇报项目美化设计；

三、甘南农业项目app客户端制作及后台信息管理系统界面制作；

四、吉林省网优大数据平台demo制作；

五、公司电力部和工程部各类材料、检验报告合同修改以及发票制作；

七、临时投标演示项目demo效果制作。

以上列出了本人20xx年的工作内容，首先感谢公司提供这样优秀平台和机会，让我在工作中和公司一起度过忙碌而充实的一年，工作中努力协同后台开发人员一起完成界面系统的精美展现，同时选择当下主流框架界面，仔细研究客户的需求和业务流程，不断优化用户操作界面，提供给用户良好的用户体验和用户舒适度。

除了系统开发这一块，在经文保项目还中应用了新领域的720度3D全景动态展示技术，720全景动画展现也是近几年比较火爆市场需求，结合百度地图，实景展现任何地方的办公及生活场景。

这一年做项目过程中在本岗位上提升了自己，同时也学习了新领域的知识，不断充实自己赶在技术的前沿，随时接受新的任务和挑战。

希望公司在新的一年里拓展新领域业务，课余多开展一些培训活动，提高员工学习新技术的积极性，同时培养团队能更好的配合完成任务。

在工作之外，希望公司多组织一些体育活动和知识竟赛活动，这样在日常工作中既可以活动身心和头脑，有能找到更多的工作乐趣，劳逸结合，才能更好的钻研项目，在技术领域有更多的突破，和公司共同创新与成长，同时希望公司项目顺利开展，我会尽全力发挥自己的能力，实现个人的目标和公司的目标，在飞快发展的大环境下和公司共同进步，最后希望公司未来发展越来越好!

过去的一年，在马总的亲切关怀，伍经理的殷勤管理与认真指导，软件研发部的团结协作，以及在公司这充满奋斗的环境下，我以严肃认真的工作态度和百折不饶的精神，努力的完成了公司的各项工作，在软件研发、团队协作和个人成长上也取得了一定的成绩。在公司一年的工作已经结束，特向公司总结汇报。

根据公司的安排，项目的需要。在自身的努力、伍经理的帮组，团队的合作下，克服重重技术困难，增长了工作经验，收获丰盈。

1、asp、net开发以前我在其他公司也做过一些开发，但是底层和架构与页面样式我都是没有涉及到的。通过这一年在本公司的的这些项目程序中的锻炼，我成长了，我学会了很多很多。

首先，面向对象语言的收获。对于当前编程的主流思想是对象，任何事物都可以用对象来表示。以前理解这些话很费解都是从表面上理解，没有从深入的体会，通过这次asp、net项目的深入，不管是数据还是外部一些条件我们都可以抽象成对象，都可以用对象来表示，具体可以用语言中的类方法等。asp、net如此，c#如此java也同样如此。其次，具备独立完成vb、net知识方面的能力。以前没有做过vb的东西，加上这次深入的做，这次涉及到的领域也非常广，常用的重要的都有涉及，并且还补充xml,javascript实际操作中空白的部分。通过这一年的开发，在、net方面我能胜任这方面的工作，能独立完成这方面的工作。

再次，c#方面存在一些不足。通过c#这次软件的开发，也发现自己的不足，如基础知识掌握不牢，缺乏编程整体思想。这些都是需要在工作中完善和改进的。

2、数据库开发数据库是伴随着项目以来用的最多最平凡的技术。以前对数据库只是会一些简单常用的操作，经过这一年项目的实战，对数据库的操作增加了一些丰富的经验。为以后的工作和经验的积累都奠定了坚实的基础。同时在项目中还用到了oracel与access数据库,这是我最大的收获。

优点：能熟练的运用数据库技术进行开发。特别是对sql数据库的操作，经过这么长时间的积累，基本上能合理的.设计和新建数据库，同时在数据结构上也加强了对数据库的理解。通过项目的实践现在能熟练使用和编写多种sql语句。还掌握了一些关于数据库优化sql语句优化的方法，能进行一些简单的优化。

缺点：数据是一门比较先进的技术，并不是你会写一些sql语句，能建几个数据库你就是数据库工程师。要成为一个好的数据库管理员是要经过长时间的工作积累。针对自己的不足，在以后的工作和学习中多接触，多运用新的知识点。充实自己的经验和知识储备。

上面的成功与收获，除了自身努力外，以及公司的支持。是这个团队铸造了我。我们这个团队也是因为有了我们这些拼搏协作的队员，使得它成为一个具有务实、拼搏、创新精神的团队。我与软件研发小组是一个整体，总结也就是我在这个团队中的收获。我的团队名言“人强团则强，人弱团则削”。三、个人成长通过公司这快一年的锻炼与学习我真的进步了很多，不管从技术上还是做事上，都不像以前那样了。我在公司学到的懂得的使我飞速成长。技术上不管从语言上还是做事的逻辑上都得到了很大的提高。现在在软件小组里面自己能独立完成一部分工作，承担自己的责任。

总之，简单概括就是20xx是我工作收获颇丰的一年，希望在公司的领导下创造更辉煌的成绩。

时间飞逝，转眼一年又即将过去，来公司两年了，首先非常感谢公司领导平时的耐心指点以及各位同事的关心帮助，让我在工作中得到不断成长和磨练，同时也领悟了很多为人处事的道理。学会真诚待人，努力严格要求自己，实实在在地努力工作，少言多行，尽职尽责做好自己的本职工作。通过多看书多学习来不断提高自身的修养素质和工作能力，做到平静于心，自律于行。下面我对XX年这一年来的工作、收获以及XX年努力的方向及自我要求进行总结如下:

总结XX年度个人与部门的收获与不足：这一年来，本人爱岗敬业，从不迟到早退，本着实事求是的做事原则，认真遵守公司内部的规章制度以及员工手册，虚心向自己的上级领导和同事求教，认真学习和巩固自己的专业知识和技能，做好自己本职工作。通过不断的学习和培训，熟知公司的核心系统以及前端柜面的知识，日常做好5S工作，通过不断学习来掌握公司产品的检测方法，学会锡膏、锡线、助焊剂的非常规检验方法，协助编制或修改产品相关的技术工艺文件，协助领导解决客户在产品应用中出现的问题。现在的实验技能操作方面也比较专业化、规范化了，对自己检测的结果数据一直持负责任的态度，不弄虚作假。工作中，遇到问题，及时向自己的上级领导反馈情况，做到有效地解决分析问题。平时积极主动认真地查阅资料，协助领导购买评估需要完善的仪器设备，不断完善公司产品、包材的质量允收标准。不断完善及规范公司产品的生产工艺及检验标准等体系文件，协助翻译产品的英文资料。认真配合并协助部门其他同事的工作需要，团结一致，齐心协力，积极有效地完成公司上级领导交待的各项工作任务。

这一年里，个人与部门在工作上都收获了不少，但也存在这样、那样的不足之处。所以自我评价是88分，不够优秀，现将问题总结如下：

个人不足：还存在很多不足之处，第一是不够谦卑，好胜心强，比如与人沟通时，有时会比较急躁，急于表述自己的观点，有点自我为中心，导致没有站在对方的立场去思考问题。第二是不够沉稳、淡定，容易自己生闷气，不够宽容他人无心的过错，没能做到虚心地接受他人善意的批评、教诲。第三是未能够保持一颗平静的心，得失心太重，遇到不顺心的事会心浮气躁，偶尔还会抱怨，没能做到失意时坦然，得意时泰然。第四还不够好学，没能坚持每天都学习，只有心情好有空时才端起书本学习他人的为人处事方法。第五不够有仁慈心，还是有分别心，经常遇到那些行乞或者需要帮助的路人都要考虑下才会施舍，甚至看到那些四肢健全的年轻人行乞者不但不给予帮助还会用鄙夷的眼光看待他们。工作上对公司的一些体系程序文件不够熟悉，有时看待问题不够透彻，容易把问题理想化;专业素养还有待提高，个别的工作做得还不够完善、协调。

部门的不足：人员还不够用，很多时候会忙不过来，平时对我们的培训不够，比如岗位的技能、操作方法、作业指导书、体系管理方面的培训不够到位;部门的管理制度及实验室的环境管理方面还有欠缺;公司的一些质量体系文件还不够完善;还有与其他部门之间的沟通交流不够;公司产品的检测项目以及实验设备(比如粘度计、印刷台)还不够完

在学校我是学习外部前段工作的所以对这方面有所涉足，到了社会，我选择了外部前段，选择了这份工作，一个是喜欢一个是自己有不错的底子，经过努力我得到了公司的青睐，进入了公司，开始了自己的前段工作生涯。有人所做技术的非常枯燥，非常无聊，单是我就喜欢这样的`工作，从自己性格而言选择这样的工作对我来说正合适，也

适合我，是我需要的工作，同样我也需要这样的工作来锻炼自己，有这个机会有了这样的平台反而让我得到了更大的发展，刚进入公司的时候，我的技术和速度可以说是最慢的，但是部门需要对我的工作从来都不会严格催促，看到其他同事都已经做完任务，都已经做好任务，而自己还在哪里慢慢的做就会感到有些愧疚，于是我就开始发狠，别人休息的时候我在做网页，学习各种前段代码，学习更多的前段知识，想办法提升自己，一个是因为我真的不甘心落后，我在学校毕竟也是成绩优异，但是却没想到自己与真正工作过的同事有这样打的差距，这让我感到非常的难过。

一颗不屈的心，让我要坚持努力下去，我们前段，拼的的是积累，拼的是经验，学的多，做的多才能够得到更多，这才是我们所希望的，也是我们需要努力的，就这样我一点点努力，一点点坚持，始终不忘自己原本的初心，始终铭记自己心中所想，终于让我有了更多的收获，有了更多的成绩，这是我自己努力的结果，同样也是我们公司，部门的培养，我经过了一年工作，改变了很多，青涩褪去，变得更加成熟稳重，这些都是同事给我的评价。同时自己的能力见长，我已经不再如同过去一班，没有了以前的那种迷茫没有了以前那种焦虑，已经融入了工作中，一点点的进步，一次次蜕变。

路还很长，做我们技术的，就要考我们踏实工作，对于工作的细节和操作都非常细心和认真都知道如果不努力做好就会留下遗憾，就会完不成任务，我曾因为一次小错误，令我耽搁了很长时间寻找错误代码，最后虽然找到了，但是却也浪费了很长时间这让我清楚了自己的责任，我必须要认真对待，每一个细节，面对密密麻麻的代码时，规范整洁有序才能够做好工作，这才能够减少失误的发生，这才能让我收获更多。

每一天我都沉寂在工作中，当看到一个个崭新且是自己设计和制作的网页时我就会感到高兴，感到自豪，因为这是我的努力也是我的坚持，至少我没有失望，付出的工作得到了结果，以后我还需努力不管过程有多难，都不能做到我这个技术宅的决心。

xx年初计划的事情，大部分都在进行或者在扫尾中。相对满意的是：镜像、应用监控、后台任务管理，过程和果都不错，碰到很多困难，好歹都过去了，基本问题已经解决，后续持续优化即可。不是很满意的：自动化、cache集群的管理、动态页面维护系统，虽然有不少进展，但是离我的期望还是差不少，完全可以做的更好的，得加油了。意外是单元测试和持续集成在同事的给力推动下有明显进展，很困难的事情，开了个好头。应用的无状态上，做了不少事情，为流动计算打下了很好的基础，超出预期了。

xx年个人最大的收获，其实就两点：其一是在做、不做或者怎么做一件事情上，能更好的权衡了，所谓的最终价值评估，这是最大的收获了;其二呢，应该是对工作的认识，人对了，事情才能对，工作中心应该放在人的角度上，不过这一点虽然认识到了，但是做的还不够。有这两点收获，也聊以自了。团队工作倒是有不少起色，大家积极性都挺高，也做出不少成绩，整体还是挺好的。网站不少架构师无论是在技术上、规划上、视野上、推进力上，都有明显的提高，深感欣慰，好歹也算我支持的吧。同时也有一批潜力股冒出来，人员的层次建设比以前好，不过老板是否满意，还不一定。

xx年，期望个人和团队都能有所突破。几个高p，希望能在视野和思维方式上放的更开一点;几个潜力高p，希望能认识到自己的不足，发挥自己的优势，能有明显进步，突破自己，向高p挺进;一些潜力小柱子，好好学习，天天向上吧，海阔天空，加油!

具体的事情么，大致有几点：前端优化这一点，我们投入太少，很乱，用户体验也不好。是时候改变了，得有强力的推进才行，ued不在我们这边，是一个困难点，虽然一直在老板面前吹风，看能否搞过来，但是还是不给力，没有强有力的论据能支撑这一变动。核心业务服务化我们刚起步，还有很多路要走，11年期望能把最核心的几个搞定，同时运作机制能搞起来，包括团队、流程、部署和维护等等，事情不少。自动化未完的事业，还需要持续，人肉工作是最没价值的，容易出错，响应也慢，而且投入的也不值，要坚决的推进。