All Posts

如何使用 Git 撤消(几乎)任何操作

原文:How to undo (almost) anything with Git 译者:madneal welcome to star my articles-translator, providing you advanced articles translation. Any suggestion, please issue or contact me LICENSE: MIT 任何版本控制系统最有用的功能之一就是能够“撤消”错误。在 Git 中,“撤消”可能意味着许多略有不同的事情。 当你进行新的 commit 时,Git 会及时存储你的仓库在该特定时刻的快照;之后,你可以使用 Git 返回到项目的早期版本。 在这篇文章中,我将介绍一些你可能想要“撤消”所做更改的常见场景,以及使用 Git 执行此操作的最佳方法。 撤销一个“public”修改 场景: 你刚刚运行了 git push,将你的修改 push 到 GitHub,现在意识到有一个 commit 有问题。你想把这个 commit 撤销。 撤销: git revert <SHA> 结果: git revert 将创建一个与给定 SHA 相反的新 commit。如果旧 commit 是“matter”,则新 commit 是“anti-matter”——旧 commit 中删除的任何内容都将添加到新 commit 中,而旧 commit 中添加的任何内容都将在新 commit 中删除。

Google Drive 的信息检索

对于使用 Google 全家桶的公司,Google 文档类的信息泄露也时常发生。出现这种情况主要的原因是文档的权限设置问题,用户可能将文档配置为 anyoneCanFind, anyoneWithLink, domainCanFind, domainWithLink,这四种权限都属于比较公开的权限。后两个属于在域内可以查看到文档,一般来说也是不提倡如此设置,尤其是文档中包含敏感信息的。 Auth 如果要使用 Google Drive 的 API,毫无疑问,Google Workspace 的 Auth 则是第一步。对于 Auth,一般可以通过 OAuth 或者 service account 来进行实现,但是 service account 有一个问题是,默认这个 service acount 并没有赋予这个 servive account 这个域内所有资源的访问权限。必须要将这个文档分享给 service account,它才可以访问。这将会影响到对于 domainCanFind 以及 domainWithLink 的文档的搜索。解决办法是需要 delegate domain-wide authority,相当于是对于这个 service account 进行额外的授权,详细的介绍可以参考这个文档。当然,这个授权需要管理员账号来进行,如果申请比较麻烦的话,还可以通过使用 OAuth 的方式来进行认证,这也是 Google Drive API 文档指引中介绍使用的方式。 通过 OAuth 来使用 Drive API 也需要三个步骤: 启用 API 配置 OAuth 应用 生成 Credentials 详细介绍可以参考谷歌的文档介绍,基本上每一步都有详细的介绍。建议可以按照文档的方式来进行操作,OAuth 生成方式会用到一个 credentials.json 文件。如果对 OAuth 流程比较了解的话,应该知道流程中会有一个授权的流程。Go 的官方文档已经提供了一个授权的 demo,通过运行代码可以获取 autorization code,通过 aurhorization code 可以生成 token.

菜腿的骑行通勤

现在,自行车骑行越来越流行。B 站上经常可以刷到各种骑行的视频。当时,就想着平常上下班开车特别堵车,骑自行车既可以通勤,还可以减肥,一举两得。选车的时候也没有特别讲究,都说迪卡侬售后比较好,平常也喜欢在迪卡侬瞎逛,在店里也稍微试骑了一下。三月份的时候就直接在迪卡侬买了最基础的公路入门车 rc100。选的是到店自提,有 100 块的优惠券,加上安装了站脚和水壶架,差不多 1700 多一点。虽然说这个车一直涨价到 1799,但还是非常火的入门公路车之一。推荐到店自提,自己安装可能还是有一点麻烦,自提会省心不少,还可以帮你把配件也一起安装了。 好多人一买车了,就各种装备,比如码表、自行车灯、手机支架等等。考虑到自己只是上下班通勤而已,才买的时候还偶尔出去骑行一下,但是后面除了上下班,基本也不骑。高德地图足够使用了,可以记录速度和里程,用来统计骑行继续就基本够用了。自行车灯买过一个,可是还没用几天,就被人偷了。手机支架就多多买了一个很便宜的硅胶支架,还挺稳,手机没有掉过。在迪卡侬买过一个骑行裤,但我感觉似乎并没有什么用,穿着也不是特别舒服,不知道是不是因为买的不够贵的原因。一般如果骑行不超过两个多小时的话,应该也不太需要骑行裤,而且骑行裤通勤的话也不太方便。 对于我个人而言,自行车在通勤上更加有优势一点。如果开车去公司的话,路程15公里左右,大多数情况早上基本都要 50 分钟多,遇到更堵的时候甚至要一个多小时,也是家常便饭。遇到最夸张的一次是堵了我将近两个小时。另外,开车去公司还要交停车费。自行车通勤,现在基本稳定在40分钟左右,最快的记录 36 分钟,通勤距离将近 12 公里。通勤时间上来说,自行车比开车其实还更节约时间。 后来从三月份开始就基本断断续续用自行车通勤,一般不下雨的时候骑自行车,下雨就开车。梅雨季那段时间,雨水比较多,那段时间基本都是开车。下雨的时候骑自行车还是挺不方便的,后来买过一款迪卡侬的徒步的雨衣,99.9,使用过一次,基本还能用。但是如果是那种大雨,其实本身骑行雨衣基本就不太管用了。另外,骑行的比较重要的装备就是手套了。不仅可以防晒,握车把会舒服一些,而且万一摔了的话,对于手掌还有一点保护。骑行一共就摔过两次,一次是前面的电动车突然急刹车,另外一次是电动车自己骑太快滑到了把我撞到了,还好两次我基本都没有受伤。骑行的时候还是需要注意安全,不要骑行过快,和他人要保持安全距离。另外就是往旁边移动的时候,一定要先往后面看看。 市区通勤的话,路况还是比较重要的。公路车比较吃路况,但是现在路面经常各种各样的补丁,导致骑起来非常不舒服。另外就是红绿灯多的话也非常影响配速,后来自己摸索了一条路,基本是最快的,这个是地图导航没有的路线。大部分的公路车用的都是法式嘴,也是这一次我知道了有法式嘴、英式嘴、以及美式嘴。英式嘴比较古老,以前那种老式自行车使用的,美式嘴最通用,汽车以及一般的电动车都是美式嘴,而公路车一般用的都是法式嘴。法式嘴的特点就是细长,并且把塑料帽拧下来之后还要把上面的金属帽拧松。之前一开始补气的时候一直打不进去,后来才知道是这个原因。 夏季骑行最大的困难就是太阳比较大,比较热。前面的一段时间基本都放弃不骑了,太热就不想骑。后面,上海的一场大雨把我四个轮子和两个轮子的电动车都跑坏了,就只能骑自行车了。现在习惯了,感觉骑行太舒服了,那种破风疾驰的感觉实在太爽。早上六点多的时候是骑行最舒服的时候,不热并且太阳也基本没有,我偶尔起来的早的话,就直接出发去公司了。本来是买了迪卡侬的渔夫帽遮阳,但这个渔夫帽有一个问题就是帽檐经常被风吹到上面或者下面,吹到上面不能遮阳,吹到下面遮挡视线,不太好用。后面入了洛克兄弟的骑行帽,可以把脸部和脖子全部遮挡。有了悍匪造型的加成,现在骑行感觉没有一点问题。 如果你的通勤距离和我类似,建议你可以试试自行车通勤。可能比开车或者地铁更加方便快捷。当然说到最开始的初衷,减肥,反正我是一点也没瘦,自从骑车后,就比以前更饿,吃得更多,没有长胖就已经不错了。

GitHub 更新了 RSA SSH host key

今天在 push 自己 GitHub 仓库代码的时候遇到了报错,后来发现是 GitHub 已经将 RSA SSH host key 进行了更新。依据官方博客,GitHub 于 3月24日 05:00 UTC 时间 由于安全原因将 RSA SSH host key 进行了更新。主要是为了避免 GitHub 用户的 git 操作被任何不法分子监听。这个变更仅影响基于 RSA 的 SSH 协议使用 GitHub 进行 git 操作的用户。变更也只影响 RSA 算法,不影响 ECDSA 或者 Ed25519 用户。 GitHub 这周发现了他们的 RSA SSH 密钥在公共仓库中暴露。根据他们的调查结果,这个问题暂不涉及 GitHub 任何系统或者用户信息被窃取。依据他们的解释是保险起见进行 host key 的更新。 报错信息可能如下: @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!

行车记录仪对比 - 盯盯拍mini5 vs 海康威视C8

最近把之前的盯盯拍 mini5 行车记录仪换下来了,换了海康威视 C8。这两款行车记录仪都是小鹏官方商城里面的行车记录仪,之前卖的是盯盯拍 mini5 和 mini3,但后来不知道盯盯拍就下架了。下架之后只有海康威视的这个型号。我算行车记录仪的重度用户,经常拿来举报违章,所以好用的行车记录仪非常重要。盯盯拍是市面上比较受欢迎的 4K 行车记录仪之一。使用将近两年的时间,基本没有什么特别大的毛病,不过前段时间在老家行车记录仪经常重启,可是回到上海之后又莫名其妙正常了。不过还是购入新的海康威视的让售后帮忙安装,因为网上关于这两款行车记录仪的对比评测不算特别多,所以分享一下对于这两款行车记录仪的使用对比。 外形 盯盯拍:⭐⭐⭐⭐⭐ 海康威视:⭐⭐⭐ 因为网上都有两款行车记录仪的照片,这里就不再贴图。行车记录仪的屏幕个人觉得特别鸡肋,因为行车记录仪只是作为记录使用,屏幕并没有什么作用,可能还会干扰视线,浪费电能。这两款行车记录仪都是不带屏幕的。盯盯拍 mini5 体型比较小,外形比较好看,质感比较好一些。不过这样带来的负面影响就是散热比较差,夏天特别烫手。有的时候可能会因为高温重启。海康威视相对来说体积大一些,散热好一些,镜头可以上下调节。但这一点基本上也没大的区别,因为行车记录仪一旦安装之后也不需要调整镜头。 新的行车记录仪是让小鹏的售后安装的,安装的比较整洁,线材都埋在了摄像头的盒子里面。当然也是因为三目摄像头的原因,记录仪也安装在比较靠下的位置。但是颠簸路面的状况会有一点点异响,可以接受。 APP 海康威视:⭐⭐⭐⭐⭐ 盯盯拍:⭐⭐⭐ 行车记录仪的 APP 对于行车记录仪来说特别重要,因为这是使用行车记录仪最频繁的场景。海康威视有一个独特的优势就是小鹏车机里面集成了 APP,可以在车机里面使用行车记录仪。不过限制只有 P 档的时候才能使用,我觉得是比较鸡肋。因为我之前使用行车记录仪的场景基本都是打开 APP,连接行车记录仪,然后 APP 就自动下载违章视频,有空的时候再去举报。盯盯拍的 APP UI 方面设计的比较精细一点,海康威视的相对来说就比较古老一点。但是,盯盯拍每次打开还有开屏广告,没有海康威视干净。虽然看起来丑了一点,但是明显干净了很多。盯盯拍之前 APP 经常无法连接强制退出,不过后面某个版本修复之后就没遇到过这种问题了。因为两款行车记录仪都是支持 5G WIFI 的,所以下载速度还是比较 OK 的。 因为 APP 的连接原理都是手机连上记录仪的 WIFI,从连接速度上面来说,海康威视要比盯盯拍快,而且盯盯拍还经常有连接失败的情况。视频预览的形式也不一样,盯盯拍是把回放视屏连接在了一起,而海康威视则是一段段的视频,这一点盯盯拍更好一点,预览视频更直观。 成像 盯盯拍:⭐⭐⭐⭐⭐ 海康威视:⭐⭐⭐⭐ 专业的参数评测可能网上已经有对比了。按照之前盯盯拍的使用体验来说,虽然是 4K 的行车记录仪,但是如果想拍清楚车牌的话,基本上必须一个车身位的距离才能拍清楚。强光环境,或者夜晚环境,可能都会差一点。还有就是那种车速特别快的,基本也是拍不清楚的。两款记录仪参数上来说基本上一致,只不过海康威视的光圈大一些而已。成像质量最好的一般都是在隧道里面,有稳定光源的。如果希望进行违章举报的话,必须要拍清楚车牌。所以一般为了拍清楚违章车辆的车牌,可以稍微靠近违章车辆,拍清楚车牌,这样举报成功率才会高一些。 不过两款行车记录仪的图片角度来看,盯盯拍的似乎更好一点,海康威视不知道是不是因为镜头角度的问题,拍出来的画面有一点点畸形的感觉,没有盯盯拍看起来那么自然。从画面成像的角度来看我更喜欢盯盯拍。另一方面盯盯拍的图片的水印看起来也更舒服一些。 停车监控 海康威视:⭐⭐⭐⭐ 盯盯拍:⭐⭐⭐ 因为这两款行车记录仪小鹏商城里面都是降压线版本,所以都有停车监控的功能的。盯盯拍的停车监控有两种功能,一种是缩时录影,另外一种是持续录像。缩时录影就是隔几十秒拍一张,这种主要是避免行车记录仪消耗太多电量,导致小电瓶没电。但有一次我我车在停车场被蹭,通过缩时录影拍到了别人的车牌,但因为不是实时的录像,也不能作为直接的证据。所以缩时录影也比较鸡肋,基本上只能简单的录一下。持续录像的话,主要的问题就是 4K 视频占用存储比较大,可能录不了多长时间就被覆盖了。另外就是小电瓶可能经常就没电了。海康威视是只有持续录制的选项,可以选择录制的时间,但是默认也是缩时录影的形式。不过感觉海康威视的停车监控似乎比盯盯拍稳定一些,盯盯拍之前经常因为小电瓶电压的问题关闭了。 可拓展性 海康威视:⭐⭐⭐⭐ 盯盯拍:⭐⭐⭐ 这两款行车记录仪都是支持 4G 模块的。通过 4G 模块可以远程查看行车记录仪摄像头的实时画面。之前大多数新能源汽车可以远程查看的,不过去年因为数据安全的问题就被政府叫停了,现在市面上车辆的摄像头都不能直接查看了,虽然我觉得特别不合理,因噎废食。海康威视的 4G 模块可以外接,可拓展性相对来说更强一点。盯盯拍则是集成到支架上面,如果要升级的话,相对来说更麻烦一点,需要将原有的支架拆除,更换为新的支架。 存储方面,盯盯拍只支持内置存储,这也是更换行车记录仪的原因之一。因为之前买的是64 GB 的版本,64 GB 对于 4K 行车记录仪来说还是太小了,不够用。海康威视使用 SD 卡来进行存储,拓展性相对来说好一点。不过最大也就只支持 128 GB,如果可以支持到 256 就好了。

为什么 2022 年是漏洞赏金奖破纪录的一年

为什么 2022 年是漏洞赏金奖破纪录的一年 原文:Why 2022 was a record-breaking year in bug bounty awards 译者:madneal welcome to star my articles-translator, providing you advanced articles translation. Any suggestion, please issue or contact me LICENSE: MIT 每年,GitLab 的应用安全团队 都会回顾 GitLab 漏洞赏金计划的亮点。 对于整个行业的安全团队来说,2022 年是忙碌的一年,我们很幸运收到了大量出色的报告,帮助我们确保 GitLab 及其客户的安全。 随着我们在 2021 年 11 月 增加我们的漏洞赏金奖励金额和研究人员参与度的提高,我们在 2022 年期间奖励超过 100 万美元,打破了新纪录! 如果没有我们的漏洞赏金社区的合作,我们就不会取得今天的成就,我们认为这些奖励非常有益,而且钱花得值。 2022 年的数字 在 221 份有效报告中获得总计 1,055,770 美元的奖金,高于去年的 337,780 美元! 三名研究人员在他们的多份报告中获得了 10 万美元以上的收入,另外七名研究人员的收入超过了 2 万美元。 2022年共收到424名研究人员的920份报告。 解决了 158 份有效报告并公开了 94 份 - 今年,我们收到了一些信息泄漏报告,与漏洞不同,这些报告不需要公开 GitLab 问题。 今年有 138 名安全研究人员提交了一份以上的报告,表明他们对我们的计划做出了积极的贡献。 向提交三份或更多有效报告的研究人员授予八份 GitLab Ultimate 许可证。 注:数据为截至 2022 年 12 月 16 日。

CircleCI 20230104 安全事件报告

CircleCI 20230104 安全事件报告 原文:CircleCI incident report for January 4, 2023 security incident 译者:madneal welcome to star my articles-translator, providing you advanced articles translation. Any suggestion, please issue or contact me LICENSE: MIT 2023 年 1 月 4 日,我们提醒客户 一起安全事件。 今天,我们想与您分享发生的事情、我们学到的知识以及我们未来不断改善安全态势的计划。 我们要感谢我们的客户对于重置密钥的关注,并对此次事件可能对您的工作造成的任何干扰表示歉意。我们鼓励尚未采取行动的客户采取行动,以防止未经授权访问第三方系统和存储。此外,我们要感谢我们的客户和社区在我们进行彻底调查期间的耐心等待。为了实现负责任的披露,我们已尽最大努力在共享信息的速度与保持调查的完整性之间取得平衡。 本报告包含: 发生了什么? 我们怎么知道这个攻击向量已经关闭并且可以安全构建? 与客户的沟通和支持 如何判断我是否受影响? 可能有助于您的团队进行内部调查的详细信息 我们从这次事件中学到了什么以及我们下一步将做什么 关于员工责任与系统保障措施的说明 安全最佳实践 结语 发生了什么? 除非另有说明,否则所有日期和时间均以 UTC 报告。 2022 年 12 月 29 日,我们的一位客户提醒我们注意可疑的 GitHub OAuth 活动。此通知启动了 CircleCI 的安全团队与 GitHub 的更深入审查。

CPE 获取指南

在我们考取 ICS 的认证之后,是需要通过 CPE(Countinuing Professional Education) 来进行证书的维持的。以 CISSP 为例,3年是需要 120 CPE 来进行证书的维持的。官方的文档已经详细说明了获取 CPE 的各种途径,如果按照官方的说明,满足要求的难度是比较低的。我在取得 CISSP 认证之后,不到一年的时间已经获得 98 CPE 了,距离要求已经很接近了。所以就分享自己一些获取 CPE 的手段来进行分享。 Webinars 基本上是一些讲座或者分享之类的,听一次基本都可以获取一个 CPE。而且现在目前 ISC 上面大多数在线的会议或者课程学习,如果可以获取 CPE 的话,你只要填了你的 ID 的话,过一段时间就会帮你自主申报,不需要你自己来申报的。不过这种在线分享,一般很多没有在线字幕,而且内容也比较杂,所以我就听说一两次,不是特别的感冒。我自己的话不是特别推荐,虽然说这是获取 CPE 的手段之一,但好歹自己也在这个过程中学点东西,这样也更有价值。 Professional Development Institute 这是我最为推荐的部分。在 PDI 里面提供了各种各样的课程,这些课程一般是英文为主,涉及的方向也比较多,比如应用安全、安全运营之类的,制作一般都比较精良。虽然里面的内容大多数都是偏理论的居多,但是如果拿去写材料什么的还是比较好的。课程可能会随着内容的多少,其 CPE 分值也不相同,有的 5 分,有的可能只有 1 分。不过这些课程都需要经过考试的,基本上分数达到 70% 以上就可以过关了。 其它 其它像回答 InforSecurity Professional 杂志上面的 quiz 也可以去获取 CPE 的,不过我觉得还挺麻烦的,因为答案可能还不太好找。参加一些安全会议也是可以获取 CPE 的。另外值得分享的是,参加 ISC 的一些志愿活动也是可以获取 CPE 的。我有次参加了一次志愿活动,一共持续了 3 天,一次性给了 21 个 CPE,还是比较多的。

小鹏 P7 之殤

不知道这会不会是我最后一次写关于小鹏的文章。虽然我算不上是小鹏的狂热粉丝,但之前也算是好感多一点,之前也分享过几篇文章关于车辆使用以及辅助驾驶方面的经历。但是最近的售后问题实在是我对小鹏失望加失望。 事情经过 首先描述一下问题发生的一个比较完整的时间线: 2022.08.13 去上海闵行小鹏服务中心检查辅助驾驶方向盘一直微调的问题,售后技师借口无法试车,不了了之。小鹏闵行服务中心一位女性售后人员在车辆交付之后没有直接交付给顾客,让顾客白白等了将近一个小时,她说她以为我已经走了,她车子都没有交付给我。 2022.08.22 辅助驾驶出现不可启用的问题,又向远程技术支持反馈问题。远程技术支持反馈是软件 BUG,未得到合理解决。 2022.08.27 去闵行服务中心继续排查辅助驾驶 NGP 使用时方向盘持续修正的问题,陪同技师经历两个小时左右的试车,最后观察到了问题现象。后技师说可能是软件问题,安装了软件补丁,但实际效果暂未知。 2022.09.12 辅助驾驶第二次不可用,且无法恢复。电机异响(电机异响的问题其实早就出现了,后面是特别严重,基本上就跟地铁运行的声音一致),去上海闵行小鹏服务中心检查确认电机问题以及辅助驾驶问题,当时售后技师说电机的问题已经非常严重了,需要留店检查维修。当时售后接待人员承诺的代步车权益是每天 3000 积分的补偿方案,从我交车的时间到我提车的时间(这也是后面埋下的伏笔之一)。 2022.09.18 售后这边提出的维修意见是需要更换电机,更换电机还需要用户去车管所登记去变更电机编号。而且辅助驾驶的问题没有根本解决。打客服电话投诉,投诉受理。 2022.09.19 售后给出车辆维修表,需要同时更换电机以及辅助驾驶芯片。对于赔偿方案闭口不提,和400客服踢皮球。期间配合进行车管所预约,预约到最早的变更日期是10月24号。期间咨询售后人员,不变更电机号,汽车无法合法上路。 2022.09.24 售后提出车辆要开始维修,询问代步车权益问题。他说车辆维修之后先拿回去,可是车子换过电机之后需要及时去车管所变更,否则是不可以上路的。售后提出让消费者把一个电机有问题的车子开回去,后面再来修,就为了不承担他们承诺赔付的代步车权益。不知道他们有没有考虑过消费者的生命安全,有没有考虑过道路行人的生命安全。 下面放上两段9月24日和售后的录音,总结概括就是预约的时间太长了,我们不想赔你代步车权益,你把车子先开回去吧。 问题总结 其实这一次的问题主要是包括两个问题,一个是电机的质量问题,第二个就是辅助驾驶的问题。小鹏 P7 的电机质量问题,出现这个问题的我并不是唯一的车主,网上搜一搜应该也有很多类似的方案。但是小鹏在解决问题的时候总是非常被动,总是消费者要花费巨大的时间和经历去推动他们去处理。车辆提车不到一年半的时间,行驶里程不足两万五千公里,就出现电机质量问题和辅助驾驶问题,需要更换电机以及辅助驾驶芯片。 第二个就是辅助驾驶的问题。一直我的观点都是辅助驾驶仅仅就只是辅助驾驶,并不能代替人完全去接管车辆。所以我在使用辅助驾驶的过程中一直都是握着方向盘去使用的。自从提车辅助驾驶使用以来,也一直陆陆续续出现过各种问题。包括出匝道突然靠近马路沿,各种幽灵刹车,使用过程中方向盘一直在不断微调,到最后的辅助驾驶不可用的阶段。当然,一种新兴技术在出现的过程中肯定在所难免会出现一些 Bug,我也经常积极反馈这些问题,并向他们上传日志,甚至配合提供行车记录仪视频。但是,小鹏往往给的答复往往都是模棱两可的,也并没有彻底的修复问题,就说可能是什么 Bug。 下面这段视频是当初提车没多久,NGP 在使用过程中突然有撞墙的一个举动,在快出匝道的时候突然往墙壁靠拢。还好当时及时接管了。当时也反馈给了他们的远程技术支持,​后来一段时间我都不敢使用 NGP 了。 后面 ACC 在北横通道又出现两次幽灵刹车的问题: 后面 ACC 在另外一个地道又连续出现两次幽灵刹车: 以上基本上就是我三次向他们反馈的问题,其实期间辅助驾驶也是各种小问题不断,比如 NGP 突然降级,速度从80降到60,幽灵刹车问题,莫名其妙勒安全带,以及上面提到的使用过程中方向盘持续调整以及辅助驾驶不可用的问题。而小鹏在解决问题的过程中似乎没有一点点主动性,能听到最多的也就是抱歉。 小鹏售后处理问题非常有意思的一点是,就是一定要求消费者拍视频举证。如果消费者无法提供举证视频的话,那就不能帮你维修。比如之前喜闻乐见的门把手收不回去的问题,辅助驾驶方向盘调整的问题。特别有意思的是他们要求一定要清楚拍摄辅助驾驶出现问题的时候去拍摄问题,完全没有考虑到可操作性,可能我需要在开车的时候头上一直顶着手机去录影才可以。他们在解决问题的时候从来不想着自己主动去排查问题,而一味地让消费者提供视频证据,并且不考虑实际可行的程度。每次地提问,也只能得到不痛不痒的,毫无帮助的回答。 这个视频是 9 月 24 号当时拍摄的视频,包括当时出现的辅助驾驶不可启用的问题。并且如果你注意听一下的话,已经可以听到电机的声音非常大了,即使在车辆在高架上行驶,有风噪胎噪的情况下,电机的声音依然非常明显,和地铁行驶的声音差不多。 总体而言,之前在辅助驾驶使用过程中遇到的问题,我都是积极反馈,上报日志,提供视频证据,从来没有进行过投诉,也没有要过赔偿。可是这次电机质量问题以及辅助驾驶的问题让我真的对小鹏的售后简直是无语加无语,处理问题不主动,出了事情就往消费者身上一推,没有一丝一毫的担当。从来没有站在消费者的角度考虑过问题。 总结 毫无疑问,目前的新势力造车搞得如火如荼。小鹏在新能源汽车上面的确有自己厉害的地方,P7 当然也有它身上很多的优点。但是如果一个厂家没有办法保证产品质量,没有办法保证售后服务,那么这个品牌在未来的路上可能走得也不会太远,其口碑也会越来越差。

关于招人的那点小事

今天在 ISC2 里面的 「Building a High-Performing Cybersecurity Team」 课程里面看到一个很有意思的视频。一个资深的 HR 分享了关于招人的一些看法,我觉得是非常有道理。现在不管是作为招聘方还是求职者都感觉很困难,招聘方觉得很难招到满意的人,求职者觉得找不到满意的工作。似乎双方都没有招到自己满意的点,而且现在的招聘市场鱼龙混杂。 对于招聘方来说,制定好预算,计划好 headcount,把能考虑的东西都考虑进去。当然,这是一种比较理想的情况,而往往在实际中往往可能会有各种各样的意外。但是做好预算,制定好计划,毫无疑问是非常有帮助的。HR 也说她能能够 JD 快速计算出这个岗位在市场上面的价值。 视频过程中也提到了现实招聘过程中一个比较常见的问题。求职者往往希望要求比预算更高的薪水。虽然这个 HR 的回答我感觉也不太好,但实际上这个问题我觉得也并没有一个很好的解决办法,或者来说根本就没有解决办法。HR 首先承认金钱非常重要,但她认为还是应该避重就轻,尽量避免涉及到这一点。并可以强调企业为这个岗位的预算就在这个特定的区间范围内。显然,HR 也并不同意直接去提高预算的做法。 HR 也提到了招聘负责人经常存在的一些错误做法: 不与 HR 积极合作。很多招聘方写的 JD 只是拍脑袋想出来的,但实际上并不是公司真正需要的。这种情况也很常见,很多人在写 JD 的时候恨不得把所有条件都写上,但是并没有充足的预算支持,并且实际上也并不是需要这样的人。只是把他们认为应该写上的都写上去而已。这样的 JD HR 也强调了需要从头到尾参与整个招聘过程。 同时强调了现在是一个候选人的市场。招聘方需要快速的响应,一旦 Offer 批准之后就应该立即行动。可能就在你犹豫的一瞬间,候选人可能就被别的公司抢走了。 同时这个访谈里面还提到了一些比较有意思的点。首先提到的一点就是求职网站,这一点很重要,因为这是求职者对你公司的第一印象。有的公司的网络做的很垃圾,体验很糟糕,不仅要上传简历,还要填写给种各样的表单。之前甚至还遇到有银行招聘需要求职者提供身份证照片,简直就离谱。对于这种公司,很多求职者可能在一开始就直接放弃了。毫无疑问,提升这方面的体验非常重要。 另外一点就是 HR 要在整个过程中需要保持和候选人的接触,这样让候选人感觉到他们一直被持续关注。尤其是遇到那种面试官出差或者请假的状态。这样避免候选人认为整个流程已经慌了。而且有的公司投递简历,石沉大海,没有任何响应的行为也非常不好。这些都有可能为公司带来一些负面影响。