为我们工作：秋冬季实习机会

如果你正在攻读学位课程，并且在软件开发和网络安全的交叉领域表现出色，你应该申请我们的秋季或冬季实习项目。这是在简历中添加带薪经验和发表成果的好方法，同时体验在商业信息安全环境中工作的感觉。

你将在秋季学期或寒假期间远程工作，解决有意义的问题，以生成或改进我们——Trail of Bits和信息安全社区——需要的工具，从而提升安全性。你的工作不会止步于针对孤立问题的昙花一现的报告，而是将对现代安全问题产生可衡量的影响。

两位前实习生分享他们的经验

Sophia D’Antoine——现在是我们的一名安全工程师——在实习期间从事了后来成为MAST的一部分工作。

Evan Jensen在为我们实习之前，已经在MIT林肯实验室担任安全研究员，并仍然认为这段经历是塑造性的。

SD：直到我听说在Trail of Bits可以做的类型工作，我才决定接受冬季实习。我会拥有自己的项目，而不仅仅是别人项目的一部分。有机会为可能产生可衡量影响的事情负责非常吸引人。ToB的声誉会为我的简历增色不少，这也没有坏处。

EJ：我将这视为扩展我从Dan那里学习的课程：“渗透测试和漏洞分析”的机会。巧合的是，当Dan在办公室时，我安排了一个夏季实习。当他建议我告诉面试官我在课堂上做什么时，面试以职位录用结束。

SD：MAST的混淆传递，用于转换代码。这完全不是我学位的重点；我学的是电气工程。但我在玩CTF作为娱乐，[ToB]喜欢我愿意自学。我不想要一个可以用谷歌研究的项目。

EJ：我实际上在ToB做了两次冬季实习。第一次，我分析了“APT1”组在其入侵活动中使用的恶意软件。第二次，我为CTF相关的DARPA资助生成培训材料，这些材料最终成为CTF现场指南的内容。

SD：很棒。我整个假期都在做我的项目，并且很喜欢。我喜欢有最终目标和参数，以及独立研究和执行的自由。我能找到的关于我的项目的唯一文档是LLVM编译器的源代码。网上没有教程来构建像MAST这样的混淆器。除了技术内容，我了解了自己、我最佳工作条件以及我最感兴趣的项目类型。

EJ：在ToB工作确实很有启发性。这是我第一次实际使用IDA Pro的许可副本。与其他资深黑客一起工作很棒。他们回答了我能想到的每一个问题。我学到了很多关于如何描述逆向工程师面临的挑战，并且还学到了一些分析技巧。

SD：很多原因。这不是很多小任务。你拥有一个大项目。你启动它。你完成它。你创造有价值的东西。这是很酷的带薪工作。它在智力上很有回报。你学到很多。ToB是简历上最好的公司之一；这是很好的 networking。

EJ：人们永远不会停止问你关于Trail of Bits的事情。

我们总是有各种进行中的项目和可以精炼的工具。你的项目将是我们工作的分支，例如：

我们的网络推理系统（CRS）——我们为网络大挑战开发，目前用于付费项目——有潜力做更多。这是一个非常复杂的分布式系统，涉及许多开源组件，包括符号执行器、x86提升、动态二进制翻译等。
PointsTo，一个基于LLVM的静态分析，用于发现大型软件项目（如网络浏览器和网络服务器）中的对象生命周期（例如 use-after-free）漏洞。了解更多。
McSema，一个开源框架，用于将x86和x86-64二进制文件静态转换为LLVM中间表示。McSema使现有的基于LLVM的程序分析工具能够操作二进制代码。查看代码。
MAST，一系列使用LLVM编译器基础设施作为iOS软件混淆和保护平台的全程序转换。

总的来说，你将对立工程和软件分析工具的开发做出有意义的贡献。没有多少地方向实习生承诺这种工作，也没有为此付费。

你必须具有软件开发经验。我们希望你能帮助我们改进工具，以永久发现和修复问题，而不仅仅是为了一次性报告。向我们展示你编写的代码、GitHub上的示例或你发布的CTF write-ups。

你必须积极主动。你将从一个清晰的项目和明确的目标开始。如何达到目标取决于你。除了在曼哈顿办公室的面对面启动和汇报会议外，你将远程工作。

但你不会孤单。我们利用所有最新技术来完成工作，包括Slack、Github、Trello和Hangouts等平台。你会发现有大量专业知识可供你使用。我们将尽最大努力提前组织一切，以便你为成功做好准备。我们将充分利用你的时间和努力。

如果你进入公共部门——也许你获得了服务奖学金——你可能想知道在商业公司工作是什么感觉。如果你想在加入政府机构之前获得一些行业经验，请与我们实习。

如果你喜欢这篇文章，分享它： Twitter LinkedIn GitHub Mastodon Hacker News