甲方安全建设个人跳槽经历总结

银空飞羽
257 阅读7分钟

写在前面

最近断更时间有点长,最近两个月时间啥都没干,一直在面试,然后办理离职跳槽,无缝衔接进新公司。我原本是做基础安全反入侵建设的,现在入职了某头部大厂,负责某个业务的基础安全建设。最近才稳定下来,单纯的想简单记录一下这段经历。

我的方向

目前我的工作经验是两年,这个时间其实不太讨好,这也确实反应到了我offer的定级上了。一般来说,三年、五年为找工作的时间节点,低于这些的时间,并且加上我本身base低,就导致很不讨好,不过这些我会尽力在后面的工作中克服。

我是做基础安全反入侵的建设的,主要侧重的是体系建设推动,以及产品安全赋能。安全技术深度相关的例如:渗透,安研这些的并不擅长。所以我面试的侧重点就是项目经验,问题+解决方案的模式,在面试中也基本很少会被问到一些八股。

这里也要感谢一下我的老东家以及我们组的人,我能接触到很多项目并且独立负责去推动,有问题组内的人也一直帮助我。让我从学生的干事思维慢慢转变,这段经历太宝贵了,做过的项目太多了(基本都是独立推动的)。以至于我现在入职之后,靠着这些经验我能迅速基于现有架构,发现薄弱点,甚至可以进行宏观上的整体安全架构设计。

这段时期我感觉就是我的新手保护期,现在我要带着从这里学到的东西,走出新手村,开始独当一面了。本身我这个方向的就很少,很多都是招SDL方向的,我对这方向接触的比较多的就是当过SRC负责人,推动业务修漏洞,这肯定是不行的。所以只能曲线救国,只要我接触过的东西都去试试,涉及到流量相关的,基础安全的,安全体系建设的,BAS的都去瞅瞅。

社招环境

我是从五月中开始的找工作,情况怎么说呢,当时阿里,拼多多裁员挺厉害,这直接导致米哈游刚上的hc被一抢而空,那些大佬岂是我这种菜鸡能比的。对于整个市场来说,岗位其实也有,只是竞争者有多少就不清楚了。毕竟寒气一直没离开过,老东家都裁过好几次了。

所以建议,现在还是多看少动,有offer再离职。

对社招的认知

经过这段经历,作为一个第一次社招的小白,我切身体会到了与校招的差距。刚毕业的时候走校招,大家都是白纸一张,大都没有什么工作经验,项目经验。我最开始就是web安全,来来回回考的都是那些东西,安全漏洞,渗透测试,什么最新漏洞的跟踪,写POC的能力,各种安全机制巴拉巴拉的。校招其实培养预备军,基础能力没啥问题,后面根据工作内容的不同,个人成长的选择开始细分不同的安全方向,但是都有相通之处,基本这个时候在职业规划上已经决定了你以后的跳槽的工作方向。

整体来说,校招招进来是预备军。但是社招不同。社招就是招你进来直接上手干活的。什么情况下会有社招hc,就是人家缺这方面的干活的人的时候。所以基本方向就限制死了,必须是你熟悉的东西,这个时候就是看岗位匹配度的问题了。所以放眼望去那么多招安全的,一看SDL的我都直接跳过,平时接触过一些的办公安全,HIDS的几面之后就挂了,再加上我只看大厂的机会,所以想找一个匹配的就太难了。每天boss都翻烂了,也很难有十分匹配的,很多岗位都是抱着试一试的心态去的,无一例外都挂了。

社招就突出两个字,匹配。

关于技巧和一些坑

很惭愧,第一次社招没经验,坑基本是全踩了,技巧是一个没用上,都是事后诸葛亮。

简历

社招的简历还是比较讲究的,上面说到了社招主要是看匹配,跟当前人家的工作内容匹配。所以,不是干过啥都要写到简历上的。而是要着重突出跟人家岗位匹配的相关,其他的不写都没啥事。例如:人家是招SDL的,你写了一堆护网防守经历有啥用(并没有care谁,hhh)。

其次,就是我最开始犯的一个问题,我是一个安全工程师,平时会做很多安全建设相关的推动,当研发资源不够的时候我也会自己独立去写一些东西,平台。这就导致了我最开始的简历上,并不是从一个安全的角度去写的项目经历,更多的体现是我像一个懂安全的,也会开发的,全栈安全研发。我最开始的本意其实只是想体现一下我的技术能力,然后对这部分的描述就有些过分注重。但其实,我面试的岗位基本都是看解决问题的能力,所以我注重的地方反而对我很不友好。同时,我简历写的东西比详细,导致每次自我介绍的时候都会被说”照着简历念了一遍哈“、”我看你这简历上都写有,那我直接开始问吧“。

然后经过点拨,我才知道简历写的问题很大。首先,我应该站在安全的角度。因为和研发直接接需求不同,对于每一个项目,你都得清楚为什么要做这个东西,不做行不行,做了能达到什么效果,可以避免什么问题,在推动的时候需要考虑哪些问题,有没有什么阻力等等,这才是甲方安全应该思考的事情,而不是我做了什么东西,解决了什么问题,用了什么技术。做安全建设的话,得有一定的产品思维,必须得先发现问题,提出问题,对于特殊情况怎么考虑,这点是比较重要的。再一个就是,简历上要精简,有突出的地方,有省略的地方,分清主次。

薪资待遇

现在基本都卡涨幅,那么这个时候去刷一些offer是有必要的,可以提高自己的竞争力。就是这么浅显的东西,我没意识到。

我这次只想去大厂,所以中小厂商压根没看,有很多匹配的岗位我都没看,感觉浪费时间。这就导致,我的选择面就很少,同时大厂难度又大,我都不一定能拿到offer,完全没有其他offer来证明竞争力,这波操作是有很大问题的,相当于你失去了当前市场对你的证明,就无法让满意的岗位给你满意的薪资。

所以这一点很重要,一定要多刷offer,拿了也不一定要去,还能刷刷经验。同时还有一个技巧,比如你就想在北京工作,其他地方完全不考虑,那么这个时候你也不用害怕因为拒offer进到人家的冷却期,毫无顾虑把其他地区的offer拿一拿,然后再来北京面试。

当然这部分只是可优化的地方,也有大佬不通过这些技巧拿到薪资岗位都满意的offer,能力为主,技巧为辅。

后续

对于我的新工作,我想趁着空闲时间研究研究AI,现在工作中的自由度还是很高的,最终的想法是将AI赋能到各种安全建设场景中,目前工作经验两年,我感觉还有很多时间在这条路上摸索摸索。

avatar
文章
阅读
粉丝