大家好，我是 myh0st ，目前我在拉勾网负责安全相关的工作，包括但不限于：安全建设、等保测评、渗透测试、安全培训等工作，目前我们所在是拉勾下面技术工程部运维中心下面的安全组，直接领导是运维老大，算是比较传统的组织架构吧。目前安全组内有两个人，现在需要招募一个小伙伴来补充我们的不足，我们有自己擅长的东西也有不擅长的，所以这个不擅长的方面就需要一个小伙伴来补充。我来拉勾网工作也就三个月左右，上周刚刚转正，下面就谈一谈我在拉勾工作的一些感想！

我与拉勾如何结缘？

其实我在拉勾面试之前，我都不知道有拉勾这个公司，因为我之前找工作一部分是通过熟人内部推荐，一部分是通过 freebuf 和安全客等平台看招聘需求，直接通过邮件的方式投递简历，没有在任何招聘网站上投递过简历，所以对国内的招聘网站不是很熟悉，当然，也没有给拉勾投过简历，那么我是如何来拉勾面试的呢？

我一直都有感觉，找工作跟找对象差不多，看缘分的，缘分到了，挡都挡不住。具体过程是这样的，大家应该知道，拉勾网有一个业务叫拉勾猎头，是专门为互联网上的 3 到 5 年工作经验的中高级人才推荐工作，猎头的工作就是寻找人才然后推荐到合适的公司合适的岗位上。而我也并不是他们眼中的人才，因为我没用过拉勾，没有提交过简历，他们根本不知道我，这其中的缘分就来自于我的朋友 znlover ，他之前通过拉勾找过工作，然后他就成了某个猎头的专属人才，他可能觉得拉勾猎头的服务不错吧，就把自己的猎头推荐给了我，然后我联系了那个猎头并将我的简历给了她，当时他的回复是没有相关的岗位。

后来我才知道，拉勾猎头的主要关注对象是软件开发、产品经理、软件测试、算法工程师这些岗位，像我们安全这种小类，更别提什么渗透测试这么偏的了，关于渗透测试岗位乙方需求比较多，甲方专门招渗透岗的比较少，我当时的想法就是要找一个甲方的工作，随后的一段时间就在面试其他公司的岗位，一直没有合适的。

突然有一天，这个猎头问我 ，“我们公司在招安全，你有没有兴趣？”，反正也没有合适工作，就试试呗，然后当天面试，第二天就给了答复，这个重视程度，我还是很感激的，随后很顺利的几天之后就入职了，感谢我的领导对我的信任，给我这个机会，让我可以在这个平台做我一直想做的事情，我积累了几年的经验终于可以有用武之地了。

在拉勾三个月的感受

试用期这三个月时间过得很快，我做的事情也很多，不过都是我感兴趣想做的事情，比如：熟悉等保并从测评报告中提取重要问题进行整改、熟悉业务系统并做渗透测试、熟悉开源 HIDS 并部署上线、对内网做渗透测试并提出整改意见、熟悉移动端并测试其安全性等，这些事情能顺利做下去没有领导的支持和信任是不可能的，所以在工作方面，领导的支持和重视可以使我们的安全工作非常顺利的进行。

由于我们安全组在运维下面，而且安全的很多整改都是需要运维配合的，所以在配合方面没得说，就说搞 HIDS 这方面，我们使用的是开源的 HIDS wazuh，这个系统的搭建需要对 elk 比较熟才行，而我没有这方面的经验，随后领导为了支持我的工作，就给我安排了一个运维的小伙伴帮我搭建，帮我省了很多时间和精力，可以让我有更多的时间用在安全技术方面。通过这个事情就是想说明，我们在拉勾做安全，不像其他的一些公司有很多的阻碍，只要是比较严重的安全问题，无论运维还是研发都会在第一时间支持我们，进行整改。

上面都是在工作方面的，在生活方面，我们中午和晚饭都是免费在公司吃的，每天不需要考虑吃什么，也不用出去，可以省很多时间，我们还有一些兴趣小组，比如：篮球、羽毛球和游泳，除了游泳需要出一点费用，其他都是免费的。拉勾的员工普遍比较年轻，我们部门的技术分享氛围也很好，每周会有两位小伙伴基于自己的领域做分享，也就是你不仅只是学习安全技术，还可以听运维大牛的运维经验，DBA 的数据库管理经验、IT 大牛的设备管理经验等等，还有部分小伙伴分享生活经验这些，总的来说非常棒！

招聘需求

岗位职责

1、负责开发内部安全平台

2、配合研发做漏洞修复方案

3、对业务代码做代码审计

4、对研发做安全编码培训

岗位要求

1、熟悉 OWASP TOP 10 常见 WEB 安全漏洞原理和修复方案；

2、熟悉常见的 java 开发框架，熟练掌握 java 语言，熟悉 python 开发；

3、可以熟练使用 ELK 自动化日志分析并进行规则设定预警

4、有 SOC 平台开发经验者优先；

5、对安全技术有比较大的兴趣；

6、良好的团队合作精神，优秀的沟通推动能力，执行力强；

需求解读

一个团队，每个人都应该有自己擅长的东西，而不同的人之间应该是互补的，所以我们要招募的小伙伴肯定是要补充我们的不足，提升我们团队的整体实力。

我们安全组目前有两个人，一个是我，一个是今年刚毕业的小伙伴，我的话在安全方面算是比较全的，但是对我来说最缺乏的就是对 java 框架不熟悉，没有 java 系统开发经验，而另外一个小伙伴，由于刚毕业，之前做过安全服务，也没有系统开发能力，不过他也在努力学习，在负责我们拉勾的反爬系统的开发。

所以目前对于我们来说，最缺乏的就是一个有系统开发经验的小伙伴加入我们，其实开发安全平台可以有多种语言，为什么必须是 java 呢？因为我们拉勾业务系统的技术栈是以 java 为主，我们希望有一个即可以开发安全平台，又可以做一些业务代码审计的工作，有了业务代码审计的经验就可以把经常出问题的代码提取出来，给研发做培训，提升我们整体的代码安全水平，这些工作能力是我所不具备的。

所以上面的岗位要求最重要的是第二条，关于安全方面的东西，我可以帮你，无论是 web 漏洞的理解还是代码审计的流程，我们可以一起搞定！