كيف تستعد لمقابلة مهندس أمني.

منذ أن أعلنت أنني سوف انضم إلى فريق أمان منتجات Facebook ، تلقيت الكثير من الأسئلة حول كيفية التحضير للمقابلات. سأحاول في هذا المقال شرح كيف تعاملت مع عملية المقابلة بشكل عام وما تبحث عنه بعض شركات التكنولوجيا الأكثر رغبة في المقابلات. وكتوقع مسبق ، أجريت مقابلة مع أحد المواقع ذات الصلة بالأمان على مستوى الدخول مع شركات مثل Google و Snapchat و Amazon و AWS و Okta و GoodRx و Facebook.

أريد أن أبدأ بإعطاء نصائح عامة لأي مقابلة ثم التركيز على المزيد من النصائح التي تركز على شركة الأمان والتكنولوجيا الكبيرة. أولاً وقبل كل شيء ، يجب أن يكون لديك بعض الثبات العقلي لأن المقابلات لن تسير على ما يرام. لقد أجريت مقابلة بشكل رهيب لأنه كان من الواضح أن هذا الموقف لم أكن مؤهلاً له. يجب أن تبذل قصارى جهدك حتى لا تتحول تدريجياً إلى مقابلات سيئة وتواصل العمل في المجموعة التالية. تعد المقابلات مهارة ، وكلما قمت بذلك كلما كانت أفضل لك. لهذا السبب ، من الأفضل دائمًا أن ترى المقابلات الفاشلة دائمًا كالمقابلات التي من شأنها أن تساعدك على حل وظيفة الأحلام في المستقبل.

فيما يتعلق بالوظائف ذات الصلة بالأمان ، ركزت جميع الشركات التي ذكرتها بشكل مختلف على الترميز مقابل المعرفة الأمنية العامة. نظرًا لأن كل تجربتي كانت تتعلق بالأمان المستند إلى الويب ، فليس لدي الكثير من النصائح للأشخاص الذين يقومون بإجراء مقابلات مع مواقع أمنية متعلقة بالهندسة العكسية أو الأجهزة المحمولة. ومع ذلك يمكنني تقديم بعض المعلومات العامة حول ما يمكن أن تتوقعه.

على سبيل المثال ، تستأجر Google كشركة مطوّري برامج أولاً ، وتأتي معرفة المجال في المرتبة الثانية حيث يمكن أن تزيد فرصك فقط لكن عملية المقابلة ستظل مركزة بشدة على البرامج. إذا أجريت مقابلة مع Google تتوقع مشكلات الترميز الأكثر صعوبة التي ستواجهها في الصناعة مثل المتوسطة وما فوق من https://leetcode.com. نظرًا لأنه يُسمح لمقابلات Google بإحضار أسئلتهم الخاصة ، فهناك مجموعة واسعة من الأشياء التي يمكنك طرحها. تحتاج إلى معرفة بنيات البيانات والخوارزميات الخاصة بك في الخارج ولديك بعض الأفكار حول كيفية تطبيقها في مواقف مختلفة. يجب أيضًا أن تكون جاهزًا للتشفير بدون IDE الخاص بك لأن الترميز في محرّر مستندات Google وعلى السبورة يختلف كثيرًا عن الترميز باستخدام IDE ويستغرق بعض الممارسات.

لدى Snapchat و Facebook من ناحية أخرى مقاربة مختلطة في المقابلة الأولية حيث يمكنك الإجابة على بعض الأسئلة المتعلقة بالأمان للنصف الأول ثم العمل على مشكلة ترميز. عادةً ما يكون جزء الأمان من المقابلات بسيطًا وسيتعين سؤالك حول أشياء مثل أنواع مختلفة من التشفير ، وكيفية تخزين كلمات المرور ، و TCP مقابل UDP ، وما إلى ذلك. نظرًا لأن نصف المقابلة سيتم إنفاقها على الأمان ، فلن يكون لديك وقت أقل في هذه الترميز الأسئلة ويمكنك أن تتوقع أسئلة أبسط ولكن ذات طبقات حيث يمكنك حل تحدي الترميز كلما تغيرت المتطلبات أو القيود لتحصل على تحديث الحل الخاص بك. في تجربتي ، عادة ما يطرح الأشخاص الذين تجري مقابلتهم أسئلة أكثر صعوبة تدريجياً ، لذا لا يتم تثبيط ذلك إذا لم تتمكن من الإجابة عن بعضها في النهاية.

أخيرًا ، قامت الشركات المتبقية بإجراء المقابلات الأولية التي تركز بشكل كامل على الأسئلة التي تستند إلى الأمان. في هذه الأنواع من المقابلات ، يمكنك توقع مجموعة واسعة من الأسئلة تتراوح بين الأسئلة الهندسية العكسية الأساسية والأسئلة عالية المستوى القائمة على الويب مثل "شرح الأنواع المختلفة من XSS" أو "كيف يمكنك منع CSRF؟". أفضل ما يجب فعله هو أن تكون مستعدًا مسبقًا ، كما هو الحال في الإجابة على جميع الأسئلة المحتملة على الورق وتكون جاهزًا لأسئلة أكثر صعوبة بشكل تدريجي. سيحاول الباحثون عادة اختبار عمق معرفتك وتجربتك ، لذا إذا أجبت على سؤال حول XSS فقد يسألك عن وقت استغلت فيه XSS.

كل الأشياء التي ذكرتها أعلاه لن تبقى صحيحة إلى الأبد أو لكل مجند ، لكن تبقى الحقيقة ، هناك 3 أنواع من المقابلات التي يمكنك مقابلتها. إنها إما ترميز بالكامل أو نصف ترميز أو أمان نصف أو 100٪ أسئلة متعلقة بالأمان. سيخبرك مجندك عادةً بما يتوقعه المرء ويمكنك أن تقرر كيف تستعد له مسلحًا بتلك المعرفة. إذا لم يخبروك في البداية ، فلا تتردد في سؤالهم عما يتوقعون وكيفية الاستعداد. معظم الشركات التي قابلتها مع الوثائق المقدمة حول أفضل طريقة للتحضير للمقابلات.

الآن للحصول على مزيد من النصائح العملية لشاشات الهاتف ، فإن أهم شيء عليك القيام به أثناء المكالمة هو تدوين الملاحظات على قطعة من الورق. كلما طُرحت عليك سؤالًا ، لا تعرف الإجابة لتدوينها ، وبعد المقابلة ستجد الإجابة الصحيحة. على سبيل المثال ، قد يُطلب منك شرح تدفق مصادقة Oauth والنضال من أجل الوصول إليه في المرة الأولى. اغتنم هذه الفرصة وأعد بعض الملاحظات للمقابلة التالية حتى تتمكن من تذكير نفسك بسرعة إذا طُلب منك ذلك مرة أخرى. بعد 3 شاشات للهاتف ، كان لدي ورقتان قيمتان من الملاحظات أمامي. الشيء الثاني الذي يجب أن تكون جاهزًا له هو الأسئلة القائمة على الوظيفة. أقترح بشدة إعداد بعض القصص مسبقًا حتى تعرف ما الذي يمكن أن تتحدث عنه إذا طلب منك أحدهم "هل يمكنك التحدث عن أفضل خلل وجدته في برنامج مكافأة الأخطاء؟" أو "تحدث عن مشروع صعب من الناحية التقنية عملت عليه؟" . يجب أن يكون لديك قائمة بالأشياء التي يمكنك التحدث عنها بشأن هذه الأنواع من الأسئلة ، وإلا وجدت أنه من الصعب حقًا تقديم إجابات جيدة على الفور.

إذا حصلت على شاشة الهاتف الأولية ، فستتم دعوتك ليوم كامل من المقابلات في الموقع أو شاشة هاتف أخرى. في كلتا الحالتين تنطبق نفس النصائح. ركز على شركة المستندات التي أرسلتها إليك ، واصل حل مشكلات الترميز وصقل قصصك للإجابة على أي أسئلة قد تطرأ على مهنتك أو ثقافتك. سيكون وجود بعض المعرفة العامة للشركة مفيدًا جدًا في هذه المواقف لأنه يمكن أن يبلغ قرارك بما يجب التركيز عليه سواء كان ذلك مشاكل الترميز أو الأسئلة المتعلقة بالأمان. بناءً على الشركة ، يمكنك الحصول على مجموعة واسعة من المقابلات من أشخاص مختلفين خلال الموقع. سيكون للأمازون وفيسبوك وجوجل فروق مختلفة حول العملية في الموقع ولأنني لم أفعل كل ذلك ، لا يمكنني حقًا تقديم أي نصائح محددة فيما يتعلق بالمقابلات في الموقع باستثناء طرح أسئلة على المجند الخاص بنا لمعرفة ما ستفعله كل مقابلة يكون حول حتى تتمكن من أفضل الممارسات بالنسبة لهم.

حظ سعيد في المقابلات الخاصة بك ولا تنسى الممارسة هو كل شيء.