招聘優(yōu)秀 DevSecOps 工程師的實(shí)用面試關(guān)注點(diǎn)

編程經(jīng)驗(yàn)

???? 任何從事 DevSecOps 和 AppSec 的安全專業(yè)人員都必須了解代碼。理想情況下，所有安全專業(yè)人員都應(yīng)從程序員成長起來。你可能不同意我的觀點(diǎn)，但 DevSecOps 和 AppSec 專家應(yīng)該在某種程度上與代碼打交道，無論是一些 YAML 清單、JSON、各種腳本，還是用 Java、Go 等語言編寫的經(jīng)典應(yīng)用程序。如果一個(gè)安全專家不知道他要查找漏洞的語言，那就大錯特錯了。你不能看著掃描儀工具亮顯示的一行就說："是的，這一行確實(shí)是漏洞："是的，的確，這一行在這種情況下可以被利用，否則就是假的"。你需要了解整個(gè)項(xiàng)目及其結(jié)構(gòu)。如果你不是程序員，你根本無法理解這些代碼。

積極主動

???? 希望我未來的員工能夠積極主動--我指的是那些足夠努力、能完成重大任務(wù)、有雄心壯志、希望取得成就并在具體任務(wù)上花費(fèi)大量時(shí)間的人。我支持員工希望在自己的領(lǐng)域有所發(fā)展，在社會上有所進(jìn)步，為自己尋找有趣的任務(wù)和項(xiàng)目，包括工作之外的任務(wù)和項(xiàng)目。如果簡歷中顯示了相應(yīng)的要點(diǎn)，我一定會將其作為加分項(xiàng)予以強(qiáng)調(diào)。

工作與生活的平衡

???? 非常重視這一點(diǎn)，在面試時(shí)我總是會談到這一點(diǎn)。一個(gè)人有愛好和興趣，說明他有能力從工作轉(zhuǎn)向其他事情，有多面性，不會固守一份工作。興趣愛好不一定是積極的運(yùn)動、登山、散步等。最重要的是，一個(gè)人的生活中不僅有工作，還有生活本身。這意味著他不會在幾年的不間斷工作中倦怠。休息和分心的能力是長期工作關(guān)系的保證。根據(jù)我的經(jīng)驗(yàn)，只有少數(shù)員工的生活中只有工作，沒有其他。但我認(rèn)為他們是獨(dú)一無二的人。他們長期在這種節(jié)奏下工作，不會倦怠，也不會抑郁。這需要一定的耐力和性格。但在 99% 的情況下，過度勞累和無法休息是員工在兩三年內(nèi)離職和倦怠的保證。目前，他可以做很多事情，但我不需要每隔幾年就像換手套一樣換人。

學(xué)歷?

???? 您應(yīng)檢查簡歷中注明的學(xué)歷證書和文憑是否可用。通過證書確認(rèn)學(xué)歷可以說明所申報(bào)能力的真實(shí)性。學(xué)習(xí)五年并不容易，但與此同時(shí)，在學(xué)習(xí)的過程中，您不得不朝著正確的方向思考，分析復(fù)雜的情況，并開發(fā)出目前具有科學(xué)新穎性、將來可用于造福人類的東西。在這里，原則上也是一樣：你與同事們結(jié)合共同的想法，創(chuàng)造出進(jìn)步的 DevOps，從而進(jìn)一步幫助人們；特別是在銀行業(yè)的安全方面。

證明人和推薦信

??? 我要求申請人提供可以推薦其工作的前任雇主或同事的聯(lián)系方式。如果一個(gè)人曾在信息安全領(lǐng)域工作過，那么通常會有一些共同的熟人，我也會與他們進(jìn)行溝通，他們可以證實(shí)他的資歷。

在面試中需要注意什么

??? 遺憾的是，并非所有方面都能在閱讀簡歷時(shí)得到澄清。求職者可能會隱瞞一些事情，以便以更有利的姿態(tài)展示自己，但更多的情況是，在編寫簡歷時(shí)根本不可能考慮到雇主所需的所有要點(diǎn)。通過與求職者交談中的引導(dǎo)性問題以及他以前工作中的故事，我可以發(fā)現(xiàn)潛在員工是否具備以下素質(zhì)。

閱讀能力
????? 這聽起來很有趣，但事實(shí)上，這并不是一種常見的素質(zhì)。一個(gè)會閱讀和分析的人幾乎可以解決任何問題。我對這一點(diǎn)深信不疑，因?yàn)槲易约壕徒?jīng)歷過不止一次這樣的情況?，F(xiàn)在，我嘗試從多個(gè)渠道尋找信息，我積極使用相同的 ChatGPT 和其他類似服務(wù)，只為加快工作進(jìn)度。也就是說，我自己推送的信息越多，我解決的任務(wù)就越多，相應(yīng)地，我就會更成功。有時(shí)，我要求應(yīng)聘者在網(wǎng)上找到一個(gè)復(fù)雜問題的解決方案，并為他提供分析材料，我看他能以多快的速度閱讀并對所提供的文章進(jìn)行定性分析。

分析思維
???? 有兩個(gè)過程：分解和組合。程序員通常使用第二部分。他們進(jìn)行組合分析，即從代碼中組合出一些進(jìn)一步工作所需的工件。信息安全分析師或安全專家則使用分解法。相反，他們會將工件分解成各個(gè)組件，并查找漏洞。如果程序員負(fù)責(zé)創(chuàng)建，那么安全專家則負(fù)責(zé)分解。在與他人代碼如何工作相關(guān)的部分，需要分析思維。例如，在上世紀(jì) 90 年代，如果代碼是用匯編語言編寫的，我們就會討論反匯編問題。也就是說，你有一個(gè)二進(jìn)制文件，你需要了解它是如何工作的。如果你不分析程序員在這段代碼中開發(fā)的所有入口和出口點(diǎn)、所有進(jìn)程和功能，那么你就無法確定程序是否按預(yù)期運(yùn)行。程序運(yùn)行的正確與否可能存在許多陷阱和邏輯問題。例如，有一個(gè)函數(shù)可以傳遞一定量的數(shù)據(jù)。程序員可以將這個(gè)函數(shù)視為可以傳遞給它的一些輸入數(shù)字?jǐn)?shù)據(jù)，也可以通過一些序列或長度來限制這些數(shù)據(jù)。例如，我們輸入卡號?？ㄌ査坪跤幸欢ǖ拈L度。但同時(shí)，任何分析師和您都應(yīng)該明白，輸入的可能不是數(shù)字，而是字母或特殊字符，長度也可能與程序員設(shè)定的不一樣。這一點(diǎn)也需要檢查，所有的假設(shè)都需要分析，要比程序員編寫的業(yè)務(wù)邏輯和思維更廣泛地看待一切。

???? 如何了解應(yīng)聘者是否具有分析能力？所有這些在與候選人 "交談 "階段就很容易弄清楚。您可以簡單地提出以下問題 "有一個(gè) X 流程的數(shù)據(jù)樣本，其中包含 1000 個(gè)參數(shù)。您需要確定最重要的 30 個(gè)參數(shù)。這項(xiàng)分析任務(wù)將由 3 組分析人員共同完成。您將如何劃分這些參數(shù)，以獲得高效可靠的分析？

應(yīng)急情況下的工作經(jīng)驗(yàn)
????? 申請者最好有在應(yīng)急情況下工作的經(jīng)驗(yàn)；例如，如果他曾在某種大型關(guān)鍵負(fù)載的服務(wù)器上工作并值班。通常情況下，這些都是夜班、晚班、周末，你必須緊急提高和恢復(fù)某些東西。這樣的人非常寶貴。他們真正懂得如何工作，并親身經(jīng)歷過不同的 "痛苦"。他們隨時(shí)準(zhǔn)備與你一起救火，最重要的是，他們極有可能比其他人更加小心謹(jǐn)慎。我曾在一家公司工作過，那里有很多沒有經(jīng)驗(yàn)的學(xué)生。他們經(jīng)常會弄壞很多東西，之后，就需要把這些東西都提出來。當(dāng)然，這在一定程度上是指導(dǎo)的結(jié)果。你必須幫助、培養(yǎng)學(xué)生，讓他們成為專家，但這并不能否認(rèn)糾正錯誤的 "痛苦"。在你和他們一起經(jīng)歷這一切之前，他們不會變得冷靜。如果一個(gè)人參與了這些過程，并有力量和能力去提高和糾正，這就非常酷了。你需要為自己挑選和接受這樣的人，因?yàn)樗麄冿@然知道如何工作。

如何避免被求職者愚弄
?????? 求職者可能會夸大自己的成就，但這很容易核實(shí)。如果一個(gè)人擁有必要的經(jīng)驗(yàn)，你需要問他一些沒有實(shí)際經(jīng)驗(yàn)難以回答的實(shí)際問題。例如，我會詢問 DevSecOps 中某項(xiàng)實(shí)踐的實(shí)施情況，即他曾在哪個(gè)協(xié)調(diào)器中工作過。例如，應(yīng)聘者應(yīng)該用幾句話寫出在哪項(xiàng)工作中實(shí)施了這一切，以及他使用了什么工具。您甚至可以從這個(gè)漏洞掃描儀中提出一些關(guān)鍵字，并詢問您會使用哪些關(guān)鍵字以及在哪些方面使一切正常。只有從事過這方面工作的專家才能回答這些問題。在我看來，這是檢查一個(gè)人的最好方法。也就是說，您需要給出可以快速解決的小型實(shí)際任務(wù)。

????? 并不是所有應(yīng)聘者的工作經(jīng)歷和工作內(nèi)容都和我一樣，他們可能有更多的經(jīng)驗(yàn)和知識。那么，找到一些共同的問題和我們一起工作過的接觸點(diǎn)就很有意義了。例如，只需列出信息安全領(lǐng)域的 20 件事，詢問應(yīng)聘者熟悉哪些內(nèi)容，找到共同點(diǎn)，然后詳細(xì)介紹。當(dāng)應(yīng)聘者在面試中夸夸其談時(shí)，最好也問一些具體的問題。如果應(yīng)聘者毫不猶豫地告訴你他實(shí)施了什么，你還可以問他一些關(guān)于每個(gè)項(xiàng)目和方向的小細(xì)節(jié)。例如，您是如何實(shí)施 SAST 驗(yàn)證的，使用了哪些工具？如果他說得很詳細(xì)，可能還附帶了一些與特定掃描工具設(shè)置有關(guān)的細(xì)微差別，并且符合總體概念，那么這個(gè)人就是這樣做的，并且使用了他所說的東西。

行業(yè)中DevSecOps的JD示例

Job Summary
???? We are seeking a passionate and experienced DevSecOps Engineer to play a crucial role in embedding security throughout our software development lifecycle (SDLC). You will be responsible for integrating security practices into our DevOps processes, ensuring the delivery of secure and compliant applications.
The DevSecOps Engineer plays a crucial role in bridging the gap between development, security, and operations teams to ensure the seamless integration of security practices throughout the software development lifecycle. This position focuses on implementing and maintaining security measures in all stages of the development process to safeguard organizational assets and data.
Competence
? Deep understanding of security principles, practices, and tools.
? Develop, implement, and regularly update security policies to ensure alignment with industry standard and regulatory requirements.
? Strong knowledge of DevOps methodologies and tools, particularly CI/CD pipelines.
? Expertise in infrastructure as code (IaC) tools like Terraform or Ansible.
? Experience with cloud platforms (AWS, Azure, GCP, Huawei Cloud, Tencent Cloud and AliCloud) and containerization technologies (Docker, Kubernetes).
? Experience with Active Directory Scripting and Automation tools.
? Excellent scripting and automation skills (Python, Bash, PowerShell).
? Strong problem-solving and analytical abilities.
? Excellent communication and collaboration skills.
Essential Duties and Responsibilities
1. Security Integration: Collaborate with development and operations teams to integrate security measures into the DevOps pipeline, ensuring security is a fundamental part of the development process. Troubleshoot and resolve AD-related issues, that may impact user authentication, access or system performance.
2. Automation: Develop and maintain automated security processes, including vulnerability scanning, code analysis, and compliance checks, to enhance the speed and efficiency of software development while maintaining a high security posture. Skill in PowerShell and other scripting languages are valuable for automating repetitive tasks and managing AD environments effectively.
3. Risk Assessment: Conduct regular risk assessments and security audits to identify and address vulnerabilities in applications, infrastructure, and processes.
4. Incident Response: Play a key role in incident response activities, including analysis, containment, eradication, and recovery from security incidents. Work closely with incident response teams to improve overall incident handling processes.
5. Continuous Monitoring: Implement and manage continuous monitoring solutions to detect and respond to security events in real-time, ensuring proactive identification and resolution of potential threats.
6. Security Training: Provide guidance and training to development and operations teams on secure coding practices, security best practices, and emerging threats.
7. Compliance: Ensure that systems and applications comply with relevant security standards, regulations, and industry best practices. Stay updated on changes in compliance requirements and implement necessary adjustments.
8. Tooling and Technology: Evaluate, implement, and manage security tools and technologies that enhance the organization's security posture, such as intrusion detection systems, firewall configurations, and encryption protocols.
Candidate Requirements
? Bachelor's degree in Computer Science, Information Security, or a related field.
? 3+ years of experience in a DevOps or security engineering role.
? Hands-on experience with security tools and technologies (e.g., SAST, DAST, WAFs, IDS/IPS).
? Experience with scripting languages and automation frameworks.
? Strong understanding of cloud security best practices.
? Proven track record of DevSecOps achievements
? Excellent communication and interpersonal skills.
? Passion for security and a desire to stay ahead of the curve.
Additional Considerations
? Experience with a specific programming language (e.g., Java, Python, Go).
? Certification in security (e.g., CISSP, CEH, OSCP).
? Experience working in a regulated industry (e.g., finance, healthcare).

總結(jié)

??????? 以上就是在尋找新人時(shí)注意的所有要點(diǎn)。希望這些信息對我的團(tuán)隊(duì)領(lǐng)導(dǎo)同事和求職者都有用，他們會知道自己需要培養(yǎng)哪些素質(zhì)才能順利通過面試。

作者：Petter Liu
出處：http://www.cnblogs.com/wintersun/
本文版權(quán)歸作者和博客園共有，歡迎轉(zhuǎn)載，但未經(jīng)作者同意必須保留此段聲明，且在文章頁面明顯位置給出原文連接，否則保留追究法律責(zé)任的權(quán)利。 該文章也同時(shí)發(fā)布在我的獨(dú)立博客中-Petter Liu Blog。文章來源地址http://www.zghlxwxcb.cn/news/detail-855139.html

到了這里，關(guān)于招聘優(yōu)秀 DevSecOps 工程師的實(shí)用面試關(guān)注點(diǎn)的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！