我在拉勾三个月的工作总结

大家好,我是 myh0st ,目前我在拉勾网负责安全相关的工作,包括但不限于:安全建设、等保测评、渗透测试、安全培训等工作,目前我们所在是拉勾下面技术工程部运维中心下面的安全组,直接领导是运维老大,算是比较传统的组织架构吧。目前安全组内有两个人,现在需要招募一个小伙伴来补充我们的不足,我们有自己擅长的东西也有不擅长的,所以这个不擅长的方面就需要一个小伙伴来补充。我来拉勾网工作也就三个月左右,上周刚刚转正,下面就谈一谈我在拉勾工作的一些感想!

我与拉勾如何结缘?

其实我在拉勾面试之前,我都不知道有拉勾这个公司,因为我之前找工作一部分是通过熟人内部推荐,一部分是通过 freebuf 和安全客等平台看招聘需求,直接通过邮件的方式投递简历,没有在任何招聘网站上投递过简历,所以对国内的招聘网站不是很熟悉,当然,也没有给拉勾投过简历,那么我是如何来拉勾面试的呢?

我一直都有感觉,找工作跟找对象差不多,看缘分的,缘分到了,挡都挡不住。具体过程是这样的,大家应该知道,拉勾网有一个业务叫拉勾猎头,是专门为互联网上的 3 到 5 年工作经验的中高级人才推荐工作,猎头的工作就是寻找人才然后推荐到合适的公司合适的岗位上。而我也并不是他们眼中的人才,因为我没用过拉勾,没有提交过简历,他们根本不知道我,这其中的缘分就来自于我的朋友 znlover ,他之前通过拉勾找过工作,然后他就成了某个猎头的专属人才,他可能觉得拉勾猎头的服务不错吧,就把自己的猎头推荐给了我,然后我联系了那个猎头并将我的简历给了她,当时他的回复是没有相关的岗位。

后来我才知道,拉勾猎头的主要关注对象是软件开发、产品经理、软件测试、算法工程师这些岗位,像我们安全这种小类,更别提什么渗透测试这么偏的了,关于渗透测试岗位乙方需求比较多,甲方专门招渗透岗的比较少,我当时的想法就是要找一个甲方的工作,随后的一段时间就在面试其他公司的岗位,一直没有合适的。

突然有一天,这个猎头问我 ,“我们公司在招安全,你有没有兴趣?”,反正也没有合适工作,就试试呗,然后当天面试,第二天就给了答复,这个重视程度,我还是很感激的,随后很顺利的几天之后就入职了,感谢我的领导对我的信任,给我这个机会,让我可以在这个平台做我一直想做的事情,我积累了几年的经验终于可以有用武之地了。

在拉勾三个月的感受

试用期这三个月时间过得很快,我做的事情也很多,不过都是我感兴趣想做的事情,比如:熟悉等保并从测评报告中提取重要问题进行整改、熟悉业务系统并做渗透测试、熟悉开源 HIDS 并部署上线、对内网做渗透测试并提出整改意见、熟悉移动端并测试其安全性等,这些事情能顺利做下去没有领导的支持和信任是不可能的,所以在工作方面,领导的支持和重视可以使我们的安全工作非常顺利的进行。

由于我们安全组在运维下面,而且安全的很多整改都是需要运维配合的,所以在配合方面没得说,就说搞 HIDS 这方面,我们使用的是开源的 HIDS wazuh,这个系统的搭建需要对 elk 比较熟才行,而我没有这方面的经验,随后领导为了支持我的工作,就给我安排了一个运维的小伙伴帮我搭建,帮我省了很多时间和精力,可以让我有更多的时间用在安全技术方面。通过这个事情就是想说明,我们在拉勾做安全,不像其他的一些公司有很多的阻碍,只要是比较严重的安全问题,无论运维还是研发都会在第一时间支持我们,进行整改。

上面都是在工作方面的,在生活方面,我们中午和晚饭都是免费在公司吃的,每天不需要考虑吃什么,也不用出去,可以省很多时间,我们还有一些兴趣小组,比如:篮球、羽毛球和游泳,除了游泳需要出一点费用,其他都是免费的。拉勾的员工普遍比较年轻,我们部门的技术分享氛围也很好,每周会有两位小伙伴基于自己的领域做分享,也就是你不仅只是学习安全技术,还可以听运维大牛的运维经验,DBA 的数据库管理经验、IT 大牛的设备管理经验等等,还有部分小伙伴分享生活经验这些,总的来说非常棒!

招聘需求

岗位职责

1、负责开发内部安全平台

2、配合研发做漏洞修复方案

3、对业务代码做代码审计

4、对研发做安全编码培训

岗位要求

1、熟悉 OWASP TOP 10 常见 WEB 安全漏洞原理和修复方案;

2、熟悉常见的 java 开发框架,熟练掌握 java 语言,熟悉 python 开发;

3、可以熟练使用 ELK 自动化日志分析并进行规则设定预警

4、有 SOC 平台开发经验者优先;

5、对安全技术有比较大的兴趣;

6、良好的团队合作精神,优秀的沟通推动能力,执行力强;

需求解读

一个团队,每个人都应该有自己擅长的东西,而不同的人之间应该是互补的,所以我们要招募的小伙伴肯定是要补充我们的不足,提升我们团队的整体实力。

我们安全组目前有两个人,一个是我,一个是今年刚毕业的小伙伴,我的话在安全方面算是比较全的,但是对我来说最缺乏的就是对 java 框架不熟悉,没有 java 系统开发经验,而另外一个小伙伴,由于刚毕业,之前做过安全服务,也没有系统开发能力,不过他也在努力学习,在负责我们拉勾的反爬系统的开发。

所以目前对于我们来说,最缺乏的就是一个有系统开发经验的小伙伴加入我们,其实开发安全平台可以有多种语言,为什么必须是 java 呢?因为我们拉勾业务系统的技术栈是以 java 为主,我们希望有一个即可以开发安全平台,又可以做一些业务代码审计的工作,有了业务代码审计的经验就可以把经常出问题的代码提取出来,给研发做培训,提升我们整体的代码安全水平,这些工作能力是我所不具备的。

所以上面的岗位要求最重要的是第二条,关于安全方面的东西,我可以帮你,无论是 web 漏洞的理解还是代码审计的流程,我们可以一起搞定!

原文发布于微信公众号 - 信安之路(xazlsec)

原文发表时间:2018-08-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏CSDN技术头条

程序员编程生涯中常会犯的7个错误,你中了吗?

作为软件开发人员生活和职业指导,我需要和很多程序员交流,帮助他们提升职业生涯,加速成长。 时间久了,我发现很多程序员总是犯着相同的错误,前仆后继,却毫不自知。 ...

1839
来自专栏BestSDK

一周简报|哄睡神器“凯叔讲故事”正式部署智齿客服,24小时为用户解决问题

编辑导语 哄睡神器“凯叔讲故事”正式部署智齿客服,24小时为用户解决问题;TuSDK:人脸识别将成为校园杜绝作弊利器;ApplePay将发布网页版,支持大部分主...

5569
来自专栏机器人网

解密推动机器人产业发展的八大技术

5亿年前,地球迎来了物种的大爆发,即“寒武纪生命大爆炸”。在相关的研究中,有一派的观点非常激进,他们提出:视觉的进化增强了物种捕猎及交配的能力,是造成寒武纪生命...

3147
来自专栏小文博客

为什么你应该#从现在开始就#写博客

901
来自专栏ThoughtWorks

一名ThoughtWorks咨询师的“心路历程”

还记得2015年初我在红螺寺许下的新年愿望:事业顺利、家庭和睦。 验收标准分别是: 事业顺利:我能够加入ThoughtWorks 家庭和睦:“造人”计划顺利...

3233
来自专栏Android机动车

如何打造个人技术影响力

什么是影响力?影响力是用一种别人所乐于接受的方式,改变他人的思想和行动的能力。影响力就是一个品牌,用你的品牌效应去影响和改变人们的行为和思想,说白了就是别人提前...

2142
来自专栏大数据文摘

餐饮外卖业为例-数据化运营操作指南(附29页PDF下载)

4284
来自专栏机器人网

工业自动化行业十大职业都有哪些职位要求和发展方向?

日前,广东省发布了三季度十大紧缺职业排行,其中工业自动化行业占据七成。随着我国工业自动化进程的加快,以往简单粗暴的劳动力优势逐渐消失,取而代之的是对高技术人才的...

4356
来自专栏镁客网

你贴心的智能家庭助手

1755
来自专栏PPV课数据科学社区

做蚱蜢、蜘蛛还是狐狸?新兴大数据公司的四种理念

随着大数据概念的提出,新兴相关数据公司也犹如雨后春笋般出现,想象一下每早与大数据创业梦想一起醒来,这确实是一种美妙的感觉。粗浅地想象一下貌似处理大数据很容易,你...

2553

扫码关注云+社区

领取腾讯云代金券