SDL面试闲谈

admin 2022年11月13日16:44:18安全面试评论5 views2117字阅读7分3秒阅读模式


安全不是每个行业都需要的东西,虽然有法律,但是公司都活不下去还要什么安全?能有SDL的全国也没多少公司。国家还在宣传安全行业缺口大。是,你他妈的用cobra的正则去扫漏洞,一个公司一个应用安全能提供100个岗位呢,每个人每天看100条误报,覆盖率100%。如果是这样的话,那安全人才的缺口简直就是海量。1亿的岗位都不止。无非就是让APT等价格降低,卷起来而已。以后不会windows RCE,各种防火墙 rce 就不用上班了。

我面试过很多公司,大部分都是上来一顿技术,一轮开始,先从SQL注入问起,然后问SQL注入可以用来干嘛,SQL怎么怎么脱数据,我说不知道,他说DNS(好多大场不会用windows部署对外业务)我就知道这个逼又是那么菜又爱装,还是一个大厂的。我只能忍着,当然最后一顿面试完没过。这些公司无一例外没有人问我漏洞如何修复的,以及修复的缓解手段,都他妈的问我如何利用,有时候我就怀疑我是不是在面红队?但是我投的SDL啊!反正就是一堆共性问题就是疯狂问攻击、利用,你问的再深,这个和写iastsast规则有毛关系,难不成sink会变,最终目的还不是修漏洞,又不是让你把公司日倒闭。

当然,上面是一轮的通病,有的时候你没过,不能证明你不行,只能说一面的人太菜了。

接下来说2轮,2轮一般可能是小组长,小点的公司就开始到CSO了。小组长sdl的定位就看级别了,如果p7,那基本上看公司的结构规模大小了,如果是大公司那肯定要上pua方法论那套,价值、闭环、绩效这玩意儿,当然也会问深度的问题,例如iast的污点传播算法,白盒的数据流ssacfg dfg、反射下断连,黑盒的js DOM解析增加覆盖率,数据污染,网关透传,微服务下的开发习惯。最后总的反馈出来的就是冷冰冰的数据,反正就是你一个人把整个系统设计好运营好,衡量好价值和规划,刚开始可能一套,后面可能是多套系统,要有强大的项目管理和指标预期管理的经验,至于什么误报啊,数据污染啊,ajax的无法 被识别啊,覆盖不到 那都是你的技术问题,干不好就开了,不然为啥常年有HC?所以P7基本上=项目管理(10%)+产品设计能力(10%)+团队合作能力(10%)+指标管理(10%)+技术深度(20%)+年纪大(40%),就可以达到了。对 主要就是年纪大就可以到P7

当然我被面试的时候,也经常反过来面试别人,他问我问题的时候我就反问你们怎么做的?然后就容易进入PUA阶段,你们怎么衡量这个解决方法的好坏?做这个解决方法对你们带来了多大的价值,这个问题有必要做嘛?反正把常见的PUA方法反问下,然后有的时候可以套路到一些不错的思路,就和他们套路我们一样

接下来说3轮,三轮一般互联网就是CSO了。Cso就看你老不老实,天天在微信群里这那的BBBB那指点江山 天天在安全圈上新闻的基本上就可以滚蛋了。还有就是对国家政策也指点江山的,这种就怕你过激,还是别入职舔麻烦的好。一般的CSO看到安全圈意见领袖也是烦,工作这种事一旦聊到不好 哪天就安全圈小作文写起来,看着头疼。还有一种就是没有房贷的,没房贷没顾虑,哪天pua起来打架就不好了,来个骨折啥的(现在的人晒太阳少,维生素D缺乏,骨质疏松挺多的),轻伤起步,案底肯定有了,后代没办法考公,很多政审就不过了,所以最好找个穷点的,从大山、大西北里出来的最好。核心素质:听话。当然cso还是看小组长意见(2轮的点评很重要),毕竟招来是干活的,又不是招CSO秘书。

接下来说4轮。一般p6-p6+3轮差不多了。P7一般有5轮。4轮是业务部门的cto,或者是运维部门。上来和你聊天,你哪里人?哦~我也是~然后开始问,微服务,gateway,熔断。。。巴拉巴拉反正我也不懂,问docker,哦docker啊~我懂,docker images docker run嘛~docker build docker save 我会~以前用dockerctf题部署有过经验,哦不~他们说的是dockerk8s k3s  aws gcp那些,哦我不会,我就用过rancher。运维老大看聊不下去了就开始转移话题,你一般怎么做事?主要问:

  • 遇到问题如何处理

  • 团队如何写作解决

  • 卡死无法推进的 事情怎么解决

  • 项目如何管理,主要是就是问你什么时候反馈问题

然后就是5轮了。5轮是开发CTO问的就是框架,业务的理解,信用卡业务是怎样的,面对什么客户,用啥框架,有啥安全问题,我们业务开发不想修漏洞你怎么办?因为我们有高优先级项目。我们的KPI/okr没有安全部分,你要推进框架代码修改,小弟不配合你咋办?那我能咋办呢,当场就😭了啊,要么祈求黑客不日进来。然后开发CTO接下来问的都和运维CTO差不多。

总的来说3轮以后都是面思维,方法路这些。

然后最后就是谈薪资,加息之前30%,加息75基点好几次以后,20%,爱来不来。猎头说了,出来一个hc 78个人面试,这还是一个小厂,大厂你自己想。电话沟通一堆客气的话,在我听来就一句话“30%,爱来不来,我很忙,还有下一个要面试,你答应就发offer了,不答应我得挂了。”

社会嘛~不要老想着技术牛逼就能当领导的。

原文始发于微信公众号(xsser的博客):SDL面试闲谈

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月13日16:44:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  SDL面试闲谈 http://cn-sec.com/archives/1406283.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: