通往学徒之路 - Trail of Bits博客
人才招募的挑战
在区块链安全行业寻找人才非常困难。这个领域还很新,找不到拥有数十年智能合约经验的工程师。培训也很困难,因为技术不断发展,在线内容很快过时。关于区块链技术还存在很多误解,使得安全工程师不愿进入这个领域。因此,既掌握区块链技术又具备安全工程师思维的人才库相当有限。
我们在区块链项目上已经工作了五年多,一直难以找到合格的申请人。去年,为了缓解这个问题,我们创建了一个密集的学徒计划,让学徒在短短三个月内获得相当于两年的经验。这个计划取得了巨大成功,我们已经向所有学徒提供了全职职位!
继续阅读以了解更多关于该计划和我们迄今为止雇佣的学徒的信息,以及未来申请者的指导。
学徒计划
该计划的主要目标是培训我们的学徒成为高技术安全工程师。我们对员工设定了高标准,我们希望使学徒能够快速满足我们的期望。该计划有两个关键方面:
导师指导
每个学徒都有一位来自区块链团队的导师(至少是高级别人员)。每位导师一次只带一名学徒,这确保导师能够提供个性化的反馈和支持。导师负责确保学徒理解我们的流程和技术,并在技术上受到挑战。例如,导师可能让学徒阅读黄皮书的某一部分并回答相关问题;学徒也可能被要求研究DeFi生态系统中发生的新攻击(并掌握底层技术)。我们还开发了一套内部挑战和练习来帮助学徒成长。
导师指导是我们学徒计划的关键部分,使培训过程快速高效。
审计跟学
我们的学徒全职工作并参与我们的审计,尽管他们的时间不向审计客户收费。通过跟学审计,学徒学习我们如何处理代码库,练习使用我们的工具,撰写报告,并有机会与团队和客户互动。
这对我们的学徒来说是一次实践体验,我们希望让他们尽可能多地接触不同的方法和代码审查策略。为此,我们让学徒切换审计团队:他们可能与导师一起工作,但也可能与我们 Assurance Practice 中的任何其他人合作。
我们在寻找谁
虽然我们看到了很多不同类型的申请人,从刚毕业的工程师到更有经验的专业人士,但这个机会是为具有区块链开发或审计经验的杰出初级到中级专业人士准备的。过去一年,我们有八名学徒:
- 其中四人拥有约一年的区块链经验。
- 两人有先前的网络安全经验。
- 两人完成了Secureum训练营。
- 一人在开始学徒前一年毕业。
- 巧合的是,其中三人过去曾创办过初创公司。
我们发现两种申请人最合适:
区块链专家/安全爱好者
这些是杰出的区块链工程师/研究人员,没有专业安全背景。属于这一类的人已经对Solidity和EVM有深入了解,但从未在专业环境中进行过审计。我们帮助他们加强对如何进行审计的理解,并培训他们跳出框框思考和使用我们的工具。
例如,Jaime Iglesias。当Jaime加入我们的学徒计划时,他已经在区块链领域工作了几年前,并且已经具备智能合约的专业知识。(他是2020年Underhanded Solidity Contest的获胜者之一。)在他的学徒期间,Jaime学会了如何进行专业审计以及如何从攻击者的角度处理代码库。他还学会了如何撰写和结构化报告,以及如何有效地管理与客户的工作。
安全专家/区块链爱好者
这些是有传统信息安全背景的经验丰富的安全研究人员。他们知道如何执行审计,并在业余时间学习区块链技术,但可能对边缘情况的理解存在一些差距。
例如,Anish Naik在成为学徒之前是一名进攻性安全分析师。他知道如何像攻击者一样思考并参与审计,但他只在业余时间从事区块链项目。在学徒期间,Anish有机会全职从事区块链项目,并完善他对Solidity和EVM的理解。他还从我们的团队成员那里学到了各种审计策略,并接触了最新的工具、威胁情报和开发实践。
如何被录取
我们建议候选人做以下事情:
加强对现实世界漏洞和审计的理解
- 复习Secureum提供的材料,这对开始区块链安全之旅很有用。观看Secureum的YouTube视频,了解最常见的漏洞并通过测验测试知识。
- 阅读我们的审计报告,更好地了解现实世界的漏洞,包括不太常见的错误。特别注意漏洞的描述和这些描述的结构。阅读我们的报告将帮助您自己撰写更好的报告。
增加对高级主题的知识,包括工具的使用
- 阅读我们的博客文章。特别是,掌握合约可升级性的概念,了解我们如何使用Echidna模糊测试库以及如何模糊测试Solidity编译器。我们的博客文章详细介绍了区块链安全的技术挑战和陷阱,将帮助您获得深入的技术专业知识。
- 完成building-secure-contracts中“程序分析”部分的练习。我们的building-secure-contracts存储库包含如何有效使用我们的程序分析工具(特别是Slither、Echidna和Manticore)的指导。我们在专业审计中使用这些工具,它们显著增强了我们的审计能力。掌握它们是成为专家审计员的关键。
测试您的知识
- 完成公开的夺旗(CTF)挑战。完成Ethernaut、CaptureTheEther和Damn Vulnerable DeFi CTFs。(完成Paradigm CTF有加分。)
- 我们收到很多申请,但您可以通过博客文章或工具贡献公开展示您的知识,从而在申请人中脱颖而出。
例如,在申请之前,Simone Monica直接为Slither做出了贡献(PR850:“为slither-check-erc工具添加ERC1155支持”)。Troy Sargent基于Slither创建了一个工具来解决Ethernaut挑战(如他在博客文章“Slithering Through the Dark Forest”中解释的那样)。他在加入公司后扩展了这项工作,并构建了slither-read-storage,一个用于读取链上变量的通用工具。(参见他最近的博客文章了解更多信息。)
通过为我们的工具做贡献,Simone和Troy展示了他们的技术专业知识和为社区做贡献的能力。
常见问题
学徒计划是远程的吗?
是的。Trail of Bits是一家远程优先的公司;区块链团队的大多数成员要么在东部时区,要么在欧洲。我们可以雇佣从太平洋时间到印度标准时的时区的学徒。唯一的要求是他们的工作时间与东部时区工作日的早上重叠。
如果学徒在三个月后没有准备好全职职位怎么办?
我们发现平均需要三个月来培训某人。然而,如果学徒提前准备好全职角色,我们可以立即雇佣学徒(我们已经多次这样做)。如果有人在三个月后没有准备好,但经过更多培训后可能准备好,我们可以延长学徒期。我们的目标是帮助学徒成功加入我们的团队,我们将投入必要的资源来实现这一目标。
我将从事什么技术?
在Trail of Bits,我们从事区块链技术的许多不同方面,包括智能合约、共识机制和虚拟机架构。然而,学徒期只关注智能合约;这给了我们所需的时间来帮助我们的学徒成为高技术专家并满足我们的期望。一旦学徒期结束,我们的新员工将有机会接触其他组件。
学徒只与以太坊链合作吗?
不,我们也在寻找具有Algorand、Cairo、Cosmos、Solana和Substrate等链背景的候选人。有这些链经验的候选人可能会接受双重培训(在以太坊和另一条链上)。
你们接受多少候选人?
我们通常每月欢迎一名新学徒。
加入我们的团队
我们的学徒计划对我们来说是一次成功的实验,我们得到了前学徒(我们全部雇佣了)的积极反馈。以下是我们的一些学徒对该计划的评价。
Anish Naik,在加入我们之前是一名进攻性安全分析师和开发人员:
学徒期是我进入区块链安全领域并向一些最佳审计师学习的绝佳机会。您可以在一个研究导向和协作的团队中工作,增加对各种工具和技术的知识,并在行业中产生积极影响!
Justin Jacob,2021年毕业,在开始学徒之前从事区块链分析:
学徒期是我职业生涯中最好的学习机会之一。与一些该领域最聪明的专业人士一起工作非常有用,并极大地提高了我的审计技能。此外,自从被全职雇佣以来,我喜欢有机会研究新兴的区块链技术,学习新技能和技术,并提高我对行业的整体理解。公司的灵活性让我可以深入研究任何我感兴趣的东西,我真的很感激。这是一个如此积极的成长机会,我强烈鼓励任何对该计划感兴趣的人申请。
Robert Schneider,通过Secureum训练营展示技能后加入我们:
在学徒计划中,您不仅仅是观察过程展开的观察者——您是团队的正式成员!在我的第一次审计中,我研究问题,为错误报告做贡献,并与客户互动——同时向行业中一些最好的智能合约审计师学习交易。
该计划的下一轮于10月开始,所以如果您有兴趣加入我们的团队,请务必申请学徒!
如果您喜欢这篇文章,请分享: Twitter LinkedIn GitHub Mastodon Hacker News