招聘流程

招聘流程始于一次非技术性通话，用于介绍实习信息和相互了解。双方确认匹配后，安排了一次技术挑战，我有两小时时间提交答案。挑战过程有趣且不觉得浪费时间。

之后，我进行了两轮技术面试（面试官为Tony和John）。面试中关于Web安全的问题进展顺利，但一些不熟悉的应用安全领域（如移动、桌面应用）的问题未能全部答出。由于Doyensec也评估非Web应用，这类问题很合理。

最终通话后，我通过邮件收到了录用通知。

工作内容

实习期间，我的时间分配在内部培训演示、研究和安全评估上。

创建培训演示让我深入学习了一个技术主题——开源静态代码分析工具Semgrep的高级功能，这对未来无论是否在Doyensec都很有用。我利用部分研究时间学习并制作了演示。Doyensec常有跨培训会议，团队成员展示新工具、技术或最新发现的“最佳漏洞”。

进行研究是很好的体验，我学习了Electron及其Web API权限实现。不必担心没有自己的研究主题——已有许多可选主题，不确定时可寻求帮助。我的研究主题最初是别人的想法。

实习中最喜欢的部分是参与安全评估。在额外指导下，我像普通顾问一样工作，学习了不同Web框架和编程语言，接触了真实公司的技术和源代码。例如，实习前我对Go应用经验有限，现在能较自如地测试Go Web应用。我还学习了移动应用，并提供了可操作的安全发现，帮助降低企业风险。我发现了各种严重程度的漏洞，并编写了带修复建议的报告。

你是否应该成为实习生？

我寻找实习时，最看重学习机会，其他因素次之，因为实习是临时的。如果你热爱应用安全并想深入学习，这个实习是绝佳途径。Doyensec的成员知识渊博，乐于与实习生分享。

尽管学习是首要，远程工作和灵活时间也很棒。有些天我喜欢下午2-3点停止工作，晚上继续。这些条件对任何人都有吸引力。

资格方面，Doyensec理想候选人应：

• 有手动源代码审计和Burp Suite/OWASP ZAP经验
• 学习速度快
• 能用英语编写报告
• 自我组织能力强
• 能从错误中学习
• 有工作/学习动力和主动性
• 必须善于沟通（否则难以有效教学）
• 带来额外价值（如创造力、学术知识等）

我实习前主要经验是漏洞赏金和CTF。对于零经验的大学生，机会不多，所以我实习前花了近两年兼职漏洞狩猎。我还有OSWE认证证明代码审计能力，但这非必需（他们会测试你！）。仅积极参与侧重Web安全和代码审计的CTF可能就足够。如果不常参加CTF，其他学习Web安全的途径也可。

最终想法

我喜欢在Doyensec的实习。学习与责任平衡良好，为我准备好在Doyensec或其他地方从事应用安全工作。

如果你感兴趣并认为适合，通过我们的招聘页面申请：https://www.careers-page.com/doyensec-llc。我们正在接受2022年秋季实习候选人。