学徒之路 - Trail of Bits博客
寻找人才之难
在区块链安全行业寻找人才异常困难。这个领域太新,找不到拥有数十年智能合约经验的工程师。技术不断演进,在线内容很快过时,培训难度大。此外,对区块链技术的诸多误解也让安全工程师望而却步。结果就是,既能掌握区块链技术又具备安全工程师思维的人才池非常有限。
我们从事区块链项目已超过五年,一直苦于找不到合格申请人。去年为缓解这个问题,我们创建了强化学徒计划,让学徒在三个月内获得相当于两年的经验。该计划大获成功,我们已向所有学徒提供全职职位!
继续阅读了解计划详情、已聘用学徒信息,以及给未来申请者的建议。
学徒计划
计划的主要目标是培训学徒成为高技术安全工程师。我们对员工要求很高,希望学徒能快速达到期望。计划有两个关键方面:
导师指导
每位学徒都有一位区块链团队的导师(至少高级级别)。每位导师一次只带一名学徒,确保能提供个性化反馈和支持。导师负责确保学徒理解我们的流程和技术,并在技术上受到挑战。例如,导师可能让学徒阅读黄皮书某部分并回答相关问题;也可能要求学徒研究DeFi生态系统中的新攻击(并掌握底层技术)。我们还开发了一套内部挑战和练习来帮助学徒成长。
导师指导是我们学徒计划的关键部分,使培训过程快速高效。
审计影子学习
学徒全职工作并参与审计,但他们的时间不计入审计客户费用。通过影子审计,学徒学习我们如何处理代码库、练习使用工具、撰写报告,并有机会与团队和客户互动。
这是学徒的实践体验,我们希望让他们尽可能接触不同方法和代码审查策略。为此,我们让学徒轮换审计团队:他们可能与导师合作,也可能与Assurance Practice的任何其他人合作。
我们在寻找谁
虽然我们看到各种申请人,从刚毕业的工程师到经验丰富的专业人士,但此机会面向具有区块链开发或审计经验的优秀初级到中级专业人士。过去一年,我们有八名学徒:
- 四人拥有约一年区块链经验
- 两人有网络安全经验
- 两人完成了Secureum训练营
- 一人毕业一年后开始学徒期
- 巧合的是,三人曾创办过初创公司
我们发现两类申请人最合适:
区块链专家/安全爱好者
这些是优秀的区块链工程师/研究人员,没有专业安全背景。这类人已深入掌握Solidity和EVM,但从未在专业环境中进行过审计。我们帮助他们加强审计理解,培训他们跳出框框思考并使用我们的工具。
例如Jaime Iglesias。加入时他已在区块链领域工作几年,拥有智能合约专业知识(他是2020 Underhanded Solidity Contest获胜者之一)。在学徒期间,他学会了如何进行专业审计,以及从攻击者角度处理代码库。他还学会了撰写和构建报告,以及有效管理与客户合作。
安全专家/区块链爱好者
这些是经验丰富的安全研究人员,具有传统信息安全背景。他们知道如何执行审计,并在业余时间学习区块链技术,但对边缘情况的理解可能存在差距。
例如Anish Naik,在成为学徒前是进攻性安全分析师。他知道如何像攻击者一样思考并参与审计,但只在业余时间从事区块链项目。在学徒期间,他有机会全职从事区块链项目,完善对Solidity和EVM的理解。他还从团队成员那里学习了各种审计策略,接触了最新工具、威胁情报和开发实践。
如何被计划接受
我们建议候选人做以下准备:
加强真实漏洞和审计理解
- 复习Secureum提供的材料,这对开始区块链安全之旅很有用。观看Secureum的YouTube视频,了解最常见漏洞并通过测验测试知识。
- 阅读我们的审计报告,更好地了解真实漏洞,包括不太常见的错误。特别注意漏洞描述和结构。阅读我们的报告将帮助您自己撰写更好的报告。
增加高级主题知识,包括工具使用
- 阅读我们的博客文章。特别是掌握合约可升级性概念,了解我们如何使用Echidna模糊测试库以及如何模糊测试Solidity编译器。我们的博客文章详细介绍了区块链安全的技术挑战和陷阱,将帮助您获得深入技术专业知识。
- 完成building-secure-contracts中"程序分析"部分的练习。我们的building-secure-contracts存储库包含如何有效使用程序分析工具(特别是Slither、Echidna和Manticore)的指南。我们在专业审计中使用这些工具,它们显著增强了审计能力。掌握这些工具成为专家审计员的关键。
测试知识
- 完成公开夺旗(CTF)挑战。完成Ethernaut、CaptureTheEther和Damn Vulnerable DeFi CTF。(完成Paradigm CTF有加分)
- 我们收到大量申请,但您可以通过博客文章或工具贡献公开展示知识,从申请人中脱颖而出。
例如,Simone Monica在申请前直接为Slither做出了贡献(PR850:“为slither-check-erc工具添加ERC1155支持”)。Troy Sargent基于Slither创建了一个工具来解决Ethernaut挑战(如他在博客文章"Slithering Through the Dark Forest"中解释)。他加入公司后扩展了这项工作,构建了slither-read-storage,一个读取链上变量的通用工具。(参见他最近的博客文章了解更多信息。)
通过为我们的工具做贡献,Simone和Troy展示了他们的技术专业知识和对社区做贡献的能力。
常见问题
学徒计划是远程的吗?
是的。Trail of Bits是一家远程优先公司;区块链团队大多数成员在东部时区或欧洲。我们可以聘用从太平洋时间到印度标准时时区的学徒。唯一要求是他们的工作时间与东部时区工作日上午重叠。
如果学徒三个月后没有准备好全职职位怎么办?
我们发现平均需要三个月培训某人。但是,如果学徒提前准备好全职角色,我们可以立即聘用(我们已经多次这样做)。如果某人三个月后没有准备好但可能经过更多培训后准备好,我们可以延长学徒期。我们的目标是帮助学徒成功加入团队,我们将投入必要资源实现该目标。
我将从事什么技术?
在Trail of Bits,我们从事区块链技术的许多不同方面,包括智能合约、共识机制和虚拟机架构。但是,学徒期只关注智能合约;这给了我们所需的时间帮助学徒成为高技术专家并满足我们的期望。学徒期结束后,新员工将有机会接触其他组件。
学徒只与以太坊链合作吗?
不,我们也在寻找具有Algorand、Cairo、Cosmos、Solana和Substrate等链背景的候选人。有这些链经验的候选人可能接受双重培训(以太坊和附加链)。
你们接受多少候选人?
我们通常每月欢迎一名新学徒。
加入我们团队
我们的学徒计划对我们来说是一次成功的实验,我们得到了前学徒(所有我们都聘用了)的积极反馈。以下是我们一些学徒对计划的评价。
Anish Naik,加入我们前是进攻性安全分析师和开发人员:
学徒期是我进入区块链安全领域并向一些最佳审计员学习的不可思议机会。您可以在研究导向和协作团队中工作,增加对各种工具和技术的了解,并在行业中产生积极影响!
Justin Jacob,2021年毕业,开始学徒前从事区块链分析:
学徒期是我职业生涯中最好的学习机会之一。与领域内一些最聪明的专业人士共度时光非常有帮助,极大地提高了我的审计技能。此外,自从被全职聘用以来,我喜欢有机会研究新兴区块链技术,学习新技能和技术,并提高对行业的整体理解。公司的灵活性让我可以深入研究任何我感兴趣的东西,我真的很感激。这是一个如此积极的成长机会,我强烈鼓励任何对计划感兴趣的人申请。
Robert Schneider,通过Secureum训练营展示技能后加入我们:
在学徒计划中,您不仅仅是观察过程展开的观察者——您是团队的正式成员!在我的第一次审计中,我研究问题,为错误报告做贡献,并与客户互动——同时向行业一些最佳智能合约审计员学习手艺。
下一轮计划于10月开始,所以如果您有兴趣加入我们团队,请务必申请学徒!
如果您喜欢这篇文章,请分享: Twitter LinkedIn GitHub Mastodon Hacker News