Alessandro Gario，资深安全工程师的一天 - Trail of Bits博客

Mike Myers
2019年8月9日
engineering-practice, people

有兴趣加入Trail of Bits的人经常问我们，在工程服务团队工作是什么感觉。我们认为最好的答案是通过团队中一些才华横溢的成员的简介，让他们用自己的话描述在Trail of Bits的经历。

今天，我们介绍的是Alessandro Gario，我们工程团队的一名成员，居住在意大利。Alessandro致力于开源项目，实现新功能、减少技术债务并整体提升性能。

你是如何加入Trail of Bits的？

我第一次在Twitter上了解到Trail of Bits。当时我正在寻找新机会，所以开始了解这家公司及其众多开源项目。我从McSema开始，这是一个将编译后的可执行文件提升为LLVM IR的项目。最初，我只是想试用这个软件，但我想与开发者交流，于是加入了Empire Hacking的Slack频道，Trail of Bits的工程师在那里回答关于他们开源工作的问题。我在项目中的主要贡献是改进CMake代码，提升构建体验并实现更好的依赖管理。

Dan Guido（Trail of Bits的CEO）注意到了我对McSema的贡献，并正好需要有人处理osquery的问题，于是他给了我一个机会。Dan给我发了一份合同，负责一个单一任务，我正式成为了Trail of Bits的承包商！我非常享受这段经历；这是我第一次被允许在项目中拥有如此多的自由——无论是工作时间还是任务方向。

当我完成osquery任务后，合同结束了。有了更多时间，现在是参与社区、处理用户提交的bug修复和功能请求的绝佳机会。最终，Trail of Bits收到了足够多的osquery工作请求，他们给了我一份全职工作offer，剩下的就是历史了。

你目前正在从事哪些项目？

我主要参与osquery项目，投入了如此多的时间，以至于我被接受为五人维护者委员会的成员！该项目，尤其是其构建工具链，目前正在翻新，以独立于其在Facebook的旧家园。

我还为一个内部项目提供Qt SDK UI工作，我们正在为安全审计员创建一个强大的源代码导航和交叉引用工具。除此之外，我偶尔帮助其他项目处理CMake相关的问题。

在业余时间，我继续尝试如何将eBPF整合到osquery中，这是持续努力改善osquery在Linux上事件驱动检测能力的一部分。我最近在QueryCon上就此话题发表了演讲。

你如何安排工作日？

当我不需要单独工作时，任何类型的协作都需要我将日程与团队其他成员对齐。由于时区差异，我必须灵活安排。如果我坚持严格的上午9点到下午6点的工作班次，这真的行不通。我围绕我的偏好日程组织工作日，但也考虑到美国-based的Trail of Bits员工和客户，他们比我这里（意大利）晚6到9小时。当纽约是下午晚些时候，米兰是夜晚。我的大多数会议都在我的时间下午5点或6点左右，这很适合我。这从来不是问题；我真的很喜欢这个日程。

你工作中最具挑战性的方面是什么？

有时，任务的要求，至少最初设想的方式，由于技术或设计的硬约束而难以实现。这很困难，因为你必须找到一个对每个人都有效的创造性折衷方案。

在极少数情况下，当我遇到困难时，我会得到团队的帮助。我们的Slack频道就像一个小型StackOverflow网站：你可以直接提问，并立即从专家那里得到答案。这是在这里工作的伟大之处之一。

当为任何有外部维护者的开源项目做贡献时，你最终必须与公司外部的人合作来完成工作，并将工作整合到下一个版本中。有时，在你认为任务“完成”后，你还必须额外工作一点，因为你仍然需要与上游项目合作，让每个人都满意。

在Trail of Bits工作，最有回报的方面是什么？

我一直对信息安全感兴趣。我会看Twitter，看到所有这些会议、活动和人们在构建伟大的东西。我终于能够参加这些活动并见到这些人。我甚至上个月在QueryCon上做了我的第一次会议演讲！

我接触到具有挑战性的问题，让我学习，尤其是当我让公司的其他人参与时。与一群才华横溢、经验丰富的工程师合作并从中学习的能力本身就是一种回报。

当我被赋予一个任务时，我被信任有责任将其进行到底，并独立工作。当我被这样信任时，我做得最好，感觉最有动力。

对于想加入我们的人，有什么职业建议？

每当我寻找安全工程领域的职位时，它们似乎大多是针对外部渗透测试Web服务的，这对我来说不是特别有趣。我做过一点逆向工程和CTF，但漏洞研究也不是我的领域。我喜欢应用我的工程技能在项目上构建软件。我决定，你必须积极寻找挑战和吸引你的东西，并开辟自己的机会。

我的建议是找到一个你想支持的相关项目，寻找容易解决的问题，或者甚至只是审查一个开放的Pull Request，或改进文档。一旦你了解了项目，开始贡献酷炫的更改就变得更容易。

这正是我个人成功的方法。我知道这很难，因为大多数人没有时间进行业余工作。而且不能保证你会被雇佣。但选择本质上激励你的项目，并在业余时间尽可能多地做酷炫的事情。享受乐趣，最终你会被注意到。

工程服务团队正在招聘

我们感谢Alessandro从他的项目中抽出时间谈论在这里工作的感受。我们的工程服务团队分布在全球，每位工程师都带来独特的技能和贡献。我们的工作是面向公众的、开源的、客户驱动的。与客户紧密合作，我们持续努力扩展和改进端点安全解决方案，如osquery、Santa和gVisor。我们最近的工作包括在PyPI（Python包管理系统）中实现2FA支持。我们为安全事件警报管道项目如StreamAlert或Carbon Black API做贡献，并始终努力改进我们自己的安全分析工具如McSema和Remill。我们的客户依赖我们解决他们的开源安全软件挑战。

我们目前正在招聘另一名资深安全工程师。如果你有兴趣并认为自己合格，请申请！

如果你喜欢这篇文章，分享它：
Twitter LinkedIn GitHub Mastodon Hacker News

页面内容
你是如何加入Trail of Bits的？
你目前正在从事哪些项目？
你如何安排工作日？
你工作中最具挑战性的方面是什么？
在Trail of Bits工作，最有回报的方面是什么？
对于想加入我们的人，有什么职业建议？
工程服务团队正在招聘

近期文章
构建安全消息传递很难：对Bitchat安全辩论的 nuanced 看法
用Deptective调查你的依赖项
系好安全带，Buttercup，AIxCC的评分回合正在进行中！
将你的智能合约成熟度超越私钥风险
Go解析器中意想不到的安全陷阱

© 2025 Trail of Bits.
使用Hugo和Mainroad主题生成。