学徒之路 - Trail of Bits博客
作者:Josselin Feist
发布日期:2022年8月12日
分类:人员、工作于Trail of Bits、职业发展
寻找人才很难,尤其是在区块链安全行业。这个领域很新,因此你找不到拥有数十年智能合约经验的工程师。培训也很困难,因为技术不断发展,在线内容很快过时。关于区块链技术还存在许多误解,使得安全工程师对进入该领域犹豫不决。因此,既能掌握区块链技术又能理解安全工程师思维模式的人才库相当有限。
我们在区块链项目上已经工作了超过五年,一直难以找到合格的申请人。去年,为了缓解这个问题,我们创建了一个密集的学徒计划,让学徒在短短三个月内获得相当于两年的经验。该计划取得了巨大成功,我们已经向所有学徒提供了全职职位!
继续阅读以获取有关该计划和我们迄今为止雇用的学徒的更多信息,以及未来申请者的指导。
学徒计划
该计划的主要目标是培训我们的学徒成为高技术安全工程师。我们对员工设定了高标准,我们希望使学徒能够快速满足我们的期望。该计划有两个关键方面:
导师指导
每个学徒都有一位来自区块链团队的导师(至少是高级级别的人员)。每位导师一次只带一名学徒,这确保导师可以提供个性化的反馈和支持。导师负责确保学徒理解我们的流程和技术,并在技术上受到挑战。例如,导师可能要求学徒阅读黄皮书的某个部分并回答相关问题;学徒也可能被要求研究DeFi生态系统中发生的新攻击(并掌握底层技术)。我们还开发了一套内部挑战和练习来帮助学徒成长。
导师指导是我们学徒计划的关键部分,使培训过程快速高效。
审计影子学习
我们的学徒全职工作并参与我们的审计,尽管他们的时间不向审计客户收费。通过影子学习审计,学徒学习我们如何处理代码库,练习使用我们的工具,编写报告,并有机会与团队和客户互动。
这对我们的学徒来说是一次实践经历,我们希望让他们尽可能多地接触不同的方法和代码审查策略。为此,我们让学徒切换审计团队:他们可能与导师一起工作,但也可能与我们 Assurance Practice 中的任何其他人合作。
我们在寻找谁
虽然我们见过许多不同类型的申请人,从刚毕业的工程师到更有经验的专业人士,但这个机会是为在区块链开发或审计方面有经验的杰出入门到中级专业人士准备的。在过去的一年里,我们有八名学徒:
- 其中四人拥有约一年的区块链经验。
- 两人有先前的网络安全经验。
- 两人完成了Secureum训练营。
- 一人在开始学徒计划前一年毕业。
- 巧合的是,其中三人过去曾创办过初创公司。
我们发现两种类型的申请人最合适:
区块链专家 / 安全爱好者
这些是杰出的区块链工程师/研究人员,没有专业安全背景。属于这一类别的人已经对Solidity和EVM有深入了解,但从未在专业环境中进行过审计。我们帮助他们加强对如何进行审计的理解,并培训他们跳出框框思考和使用我们的工具。
例如,以Jaime Iglesias为例。当Jaime加入我们的学徒计划时,他已经在区块链领域工作了几年,并且已经拥有智能合约的专业知识。(他是2020年Underhanded Solidity Contest的获胜者之一。)在他的学徒期间,Jaime学会了如何进行专业审计以及如何从攻击者的角度处理代码库。他还学会了如何编写和结构化报告,以及如何有效地管理与客户的工作。
安全专家 / 区块链爱好者
这些是有经验的安全研究人员,具有传统InfoSec背景。他们知道如何进行审计,并在业余时间学习区块链技术,但可能对边缘情况的理解存在一些差距。
例如,Anish Naik在成为学徒之前是一名进攻性安全分析师。他知道如何像攻击者一样思考并参与审计,但他只在业余时间从事区块链项目。在他的学徒期间,Anish有机会全职从事区块链项目,并完善他对Solidity和EVM的理解。他还从我们的团队成员那里学到了各种审计策略,并接触了最新的工具、威胁情报和开发实践。
如何被接受进入该计划
我们建议候选人做以下事情:
加强对现实世界漏洞和审计的理解
- 复习Secureum提供的材料,这将对你开始区块链安全之旅有用。观看Secureum的YouTube视频,以了解最常见的漏洞并通过测验测试你的知识。
- 阅读我们的审计报告,以更好地了解现实世界中的漏洞,包括不太常见的错误。特别注意漏洞的描述和这些描述的结构。阅读我们的报告将帮助你编写更好的报告。
增加对高级主题的知识,包括工具的使用
- 阅读我们的博客文章。特别是,掌握合约可升级性的概念,并了解我们如何使用Echidna对库进行模糊测试以及如何对Solidity编译器进行模糊测试。我们的博客文章详细介绍了区块链安全的技术挑战和陷阱,并将帮助你获得深入的技术专业知识。
- 完成building-secure-contracts的“程序分析”部分中的练习。我们的building-secure-contracts存储库包含关于如何有效使用我们的程序分析工具(特别是Slither、Echidna和Manticore)的指导。我们在专业审计中使用这些工具,它们显著增强了我们的审计能力。掌握它们是成为专家审计员的关键。
测试你的知识
- 完成公共捕获旗帜(CTF)挑战。完成Ethernaut、CaptureTheEther和Damn Vulnerable DeFi CTFs。(完成Paradigm CTF会有加分。)
我们收到很多申请,但你可以通过博客文章或工具贡献公开展示你的知识,从而在申请人中脱颖而出。
例如,在申请之前,Simone Monica直接为Slither做出了贡献(PR850:“为slither-check-erc工具添加ERC1155支持”)。Troy Sargent创建了一个基于Slither的工具来解决Ethernaut挑战(如他在博客文章“Slithering Through the Dark Forest”中解释的那样)。他在加入公司后最终扩展了这项工作,并构建了slither-read-storage,一个用于读取链上变量的通用工具。(参见他最近的博客文章以获取更多信息。)
通过为我们的工具做出贡献,Simone和Troy展示了他们的技术专业知识和为社区做出贡献的能力。
常见问题
学徒计划是远程的吗?
是的。Trail of Bits是一家远程优先的公司;区块链团队的大多数成员要么在东部时区,要么在欧洲。我们可以雇用从太平洋时间到印度标准时时区的学徒。唯一的要求是他们的工作时间与东部时区工作日的早晨重叠。
如果学徒在三个月后没有准备好全职职位怎么办?
我们发现平均需要三个月来培训某人。然而,如果学徒提前准备好全职角色,我们可以立即雇用学徒(正如我们已经多次做过的那样)。如果有人在三个月后没有准备好但可能经过一点更多培训后准备好,我们可以延长学徒期。我们的目标是帮助学徒成功加入我们的团队,我们将投入必要的资源来实现这一目标。
我将从事什么技术?
在Trail of Bits,我们从事区块链技术的许多不同方面,包括智能合约、共识机制和虚拟机架构。然而,学徒计划只关注智能合约;这给了我们所需的时间来帮助我们的学徒成为高技术专家并满足我们的期望。一旦学徒期结束,我们的新员工将有机会接触其他组件。
学徒只与以太坊链合作吗?
不,我们也在寻找具有Algorand、Cairo、Cosmos、Solana和Substrate等链背景的候选人。有这些链经验的候选人可能会接受双重培训(在以太坊和另一条链上)。
你们接受多少候选人?
我们通常每月欢迎一名新学徒。
加入我们的团队
我们的学徒计划对我们来说是一次成功的实验,并且我们得到了前学徒(所有我们都雇用了)的积极反馈。以下是我们的一些学徒对该计划的评价。
Anish Naik,在加入我们之前是一名进攻性安全分析师和开发人员:
学徒计划是我进入区块链安全领域并向一些最佳审计员学习的绝佳机会。你可以在一个以研究为导向和协作的团队中工作,增加对各种工具和技术的知识,并在行业中产生积极影响!
Justin Jacob,2021年毕业,在开始学徒计划之前从事区块链分析工作:
学徒计划是我职业生涯中最好的学习机会之一。与一些该领域最聪明的专业人士一起工作非常有用,并极大地提高了我的审计技能。此外,自从被全职雇用以来,我很喜欢有机会对新兴区块链技术进行更多研究,学习新技能和技术,并提高我对行业的整体理解。公司的灵活性允许我深入研究任何我感兴趣的东西,我真的很感激。这是一个如此积极的成长机会,我强烈鼓励任何对该计划感兴趣的人申请。
Robert Schneider,通过Secureum训练营展示他的技能后加入我们:
在学徒计划中,你不仅仅是一个观察者,观看过程展开——你是团队的正式成员!在我的第一次审计中,我研究了问题,为错误报告做出了贡献,并与客户互动——同时向行业中一些最好的智能合约审计员学习交易。
该计划的下一轮于10月开始,所以如果你有兴趣加入我们的团队,请务必申请学徒计划!
如果你喜欢这篇文章,请分享: Twitter LinkedIn GitHub Mastodon Hacker News
页面内容
- 学徒计划
- 导师指导
- 审计影子学习
- 我们在寻找谁
- 区块链专家 / 安全爱好者
- 安全专家 / 区块链爱好者
- 如何被接受进入该计划
- 常见问题
- 加入我们的团队
- 近期文章
我们构建了MCP一直需要的安全层 利用废弃硬件中的零日漏洞 Inside EthCC[8]:成为智能合约审计员 使用Vendetect大规模检测代码复制 构建安全消息传递很难:对Bitchat安全辩论的细致看法
© 2025 Trail of Bits。 使用Hugo和Mainroad主题生成。