远程招募安全研究员:Doyensec的技术招聘全流程解析

本文详细介绍了Doyensec公司完全远程化的安全研究员招聘流程,包括源代码挑战、技术面试、Web应用测试等核心技术环节,涵盖了代码审计、漏洞挖掘、黑盒测试等实际安全工程技能评估方法。

远程招募安全研究员

2022年11月9日 - 作者:Mateusz Swidniak

在Doyensec,应用安全工程师的招聘流程完全远程进行。作为最后一步,我们过去曾为欧洲候选人在华沙组织现场面试,为美国候选人在纽约组织面试。这种情况一直持续到2020年,当时新冠疫情迫使我们转向100%远程招聘模式,并在未亲自见面的情况下聘用人员。

我们已经与来自超过25个国家的候选人进行了招聘面试。那么,我们如何建立一个既对不同国籍和文化背景的人具有包容性,又能让我们了解特定候选人技术技能的过程呢?

以下的招聘流程是自2018年以来积累经验的结果。

介绍通话

在开始特定候选人的招聘流程之前,我们希望更好地了解对方。我们想了解他们换工作的动机,以及他们在未来几年想做什么。Doyensec只雇佣具有特定思维方式的人,因此在要求他们展示技术技能之前了解某人对我们至关重要。

在我们的初步对话中,我们的人力资源专家会向候选人详细介绍公司、我们的工作方式、客户来源以及与我们的合作基本原则。我们也会留出时间让候选人提出任何他们想问的问题。

我们在介绍通话中关注什么?

  • 非母语申请者的英语知识水平
  • 专业性 - 尽管人们来自不同的文化,但专业性是国际通用的
  • 表明候选人在相关职位上有成功背景的专业经验
  • 能告诉我们某人是否适合我们团队的一般性格特征

如果候选人的财务期望与我们能提供的相符,并且我们对候选人感觉良好,我们将进入第一个技术技能测试。

源代码挑战

在Doyensec,我们经常处理客户提供的源代码。我们喜欢将源代码分析与动态测试相结合。我们相信这种组合将为客户带来最高的投资回报率。这就是为什么我们要求每个候选人都能够分析应用程序源代码。

我们的源代码挑战安排如下:在约定的时间,我们向候选人发送一个源代码存档,并要求他们在2小时内找到尽可能多的漏洞。我们还要求他们根据我们随挑战发送的说明准备这些漏洞的简短描述。这项任务的目的是了解候选人分析源代码的能力,以及他们在时间压力下的工作效率。

我们不会提前透露测试中使用哪些编程语言,但他们应该期待更流行的语言。我们不测试小众语言,因为我们的目标是检查他们是否能在真实世界的代码中发现漏洞,而不是试图用琐碎或深奥的挑战来难倒他们。

我们认为没有什么比编码和审查代码漏洞的实际经验更重要。除此之外,通过我们的代码审查挑战所需的学术知识示例类似于(但不限于)以下资源中的内容:

  • CERT的Java编码指南
  • CERT的Android安全编码标准
  • Apple的iOS和iPadOS应用安全介绍

技术面试

在分析第一个挑战的结果后,我们决定是否邀请候选人参加第一次技术面试。面试通常由我们的咨询总监或其中一位经验更丰富的顾问进行。

面试将持续约45分钟,我们会提出问题,帮助我们了解候选人的技能集并确定他们的资历水平。在这次对话中,我们还会询问在源代码挑战中犯的错误。我们想了解为什么有人可能会报告一个不存在的漏洞,或者为什么有人错过了一个特别容易检测的漏洞。

我们还鼓励候选人询问关于我们如何工作、使用什么工具和技术以及任何其他可能引起候选人兴趣的问题。

在此流程阶段取得成功所需的知识来自实际经验,以及来自以下来源的学术知识:

  • Mozilla的Web安全参考
  • Web应用程序黑客手册
  • The Tangled Web
  • 常见安全工程面试问题示例
  • OWASP的速查表系列

Web挑战

时长为四小时的Web挑战是我们最后也是最长的技术技能测试。在约定的时间,我们向候选人发送一个包含一定数量漏洞的Web应用程序链接,候选人的任务是找到尽可能多的漏洞并准备简化报告。与之前检查源代码阅读能力的技术挑战不同,这是一个100%的黑盒测试。

我们建议候选人在尝试此挑战之前,熟悉Portswigger Web安全学院涵盖的类似主题,或通过HackerOne等网站提供的培训/CTF。

如果候选人通过招聘流程的这一阶段,他们将只剩下最后一个阶段:与公司创始人的面试。

最终面试

招聘的最后阶段与其说是面试,不如说是整个过程的总结。我们想与候选人讨论他们的优势,更好地了解他们的技术弱点以及他们在之前步骤中犯的任何错误。特别是,我们总是喜欢区分来自知识缺乏的错误与时间压力导致的结果。当到达此阶段的候选人反思了过程并采取措施在他们感觉不太舒服的领域改进时,这是一个非常积极的信号。

最后一次面试总是由公司的一位创始人进行,因此这是了解更多关于Doyensec的绝佳机会。如果有人到达招聘流程的这一阶段,我们的公司很可能会向他们发出录用通知。我们的录用通知基于他们的期望以及他们为组织带来的价值。整个招聘流程旨在保证员工对工作满意,并达到Doyensec对其团队的高标准。

整个招聘流程实际耗时约8小时,总共只有一个工作日。因此,如果候选人反应迅速,整个招聘流程通常可以在约2周或更短时间内完成。

如果您正在寻找有关在@Doyensec工作的更多信息,请访问我们的职业页面并查看我们的职位空缺。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次