资深安全工程师Alessandro Gario的一天:从开源贡献到职业成长
如何加入Trail of Bits?
我第一次在Twitter上了解到Trail of Bits。当时正在寻找新机会,于是开始研究这家公司及其众多开源项目。我从McSema入手——这是一个将编译后的可执行文件提升为LLVM IR的项目。最初只是想试用软件,但为了与开发者交流,我加入了Empire Hacking的Slack频道。我的主要贡献是改进CMake代码,优化构建体验并实现更好的依赖管理。
Trail of Bits CEO Dan Guido注意到我对McSema的贡献,恰逢团队急需处理osquery问题的人员,于是向我发出合约邀约。完成首个osquery任务后,我利用空闲时间继续处理用户提交的漏洞修复和功能请求。最终,团队因osquery需求激增向我发出全职offer。
当前参与的项目
- osquery:投入大量时间后,我已成为该项目五人维护委员会成员。目前正推动构建工具链改造,使其脱离对Facebook原有架构的依赖。
- Qt SDK开发:为内部项目开发源代码导航与交叉引用工具,助力安全审计工作。
- CMake支持:协助其他项目解决CMake相关问题。
- eBPF实验:探索将eBPF集成到osquery中,以增强Linux平台的事件驱动检测能力(曾在QueryCon会议分享进展)。
跨时区工作安排
由于身处意大利(与北美时差6-9小时),我的工作日程需要高度灵活。会议多集中在米兰时间下午5-6点(纽约上午时段)。这种安排既能保证协作效率,又符合个人作息偏好。
工作中的挑战
- 技术实现困境:当任务需求与现有技术/设计约束冲突时,需要创造性妥协。
- 开源协作:与外部维护者合作推动代码合并时,常需在"完成任务"后继续沟通以满足上游要求。
- 即时支持:团队Slack频道如同迷你StackOverflow,专家可快速解答技术难题。
最有成就感的时刻
- 实现参加安全会议的梦想,并在QueryCon完成首次公开演讲
- 与顶尖工程师协作解决复杂问题时的成长体验
- 被充分信任独立主导项目推进
给求职者的建议
- 选择内在动力驱动的项目,利用业余时间持续产出
- 典型案例:我通过贡献McSema获得职业机会,但需注意这不是唯一路径
工程服务团队招聘
我们正在招募高级安全工程师,工作内容包括:
- 扩展端点安全解决方案(osquery/Santa/gVisor)
- 开发安全警报管道(如StreamAlert/Carbon Black API)
- 改进安全分析工具(McSema/Remill)
- 近期成果:为PyPI包管理系统实现双因素认证支持
(原文包含社交媒体分享链接及公司近期技术博客目录,此处从略)
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码
浙公网安备 33010602011771号