这周去xkungfoo和xcon，是第一次参加国内的安全方向纯技术会议。其实只去了三天，只认真听了一天，所以没法谈对具体议题的看法了。

与我想象中相同的是，xcon的主要用处果然是大家来聚一聚了。不过并不适合新人来拓展业内关系，主要还是已经在线上结识的或者以前就见过的人再次聚会。老实说，如果一个新人想要融入国内的这个圈子，感觉还是蛮难的。

技术上来看，依然是大部分人关注Web安全和软件安全，少数移动安全和支付安全。对新的趋势、新的领域、新的方法，还是老外更积极（比如Chengyun Chu的Windows 8安全，Stefan Esser的iOS堆利用，Paul Craig的受限环境）。Antiy做的计时器攻击也许算是个例外，我觉得demo部分的水平差不多够BlackHat了。

整的来看，水分还是有，不一定比得上台湾的HITCON议题有趣。我的猜测是，首先，国内的老牌高手很可能都不屑于跑出来讲了，这一点倒是和国内整个IT界气氛蛮像，十年以上的老程序员很少见，而国外正是这些人支撑起Microsoft、Google的核心团队；另一方面，独特的商业环境也可能导致封闭的企业文化；最后，关于漏洞上报流程和方法以及由此产生的争议，正体现出国内企业对安全的认识和态度依然存在问题。

另外比较诧异的是国内同行在英语方面的水平低于我的想象（虽然我自己的英文也一般）。这是我对产业最大的担忧之一。

由于在xkungfoo有做分享，得以见到业内许多前辈，也和很多朋友“相认”或者有交流。特别感谢热情的黑哥。

最大的收获是，发现自己的问题还是蛮多的，一是技术不够实践（比如对我分享内容的一些质疑），二是了解得不够深。另外，许多人在这个领域有多年的积累，真的让我很难再有自满的感觉。我的知识面也不够广，即便是做移动app安全，还是不可避免地会涉及web安全、网络安全等，每次遇到与此相关的，我都会很囧。

这几天我一直在想，怎么样可以建立良好的技术交流平台。这个事情非常困难。与kanxue的聊天也能感受到他的一些无奈。最后一天有幸听到Jeffery Moss的演讲，这确实是一个有领袖气质的人，他关注整个产业的动态和趋势，有自己的思考，并且会去传播他的理念。这也许会是值得学习的方向。

anyway，接下来需要做到的是：低调、严谨、继续努力、保持视野。