在一个
渗透测试精英团队创建之初,工作人员将会较为少,乃至说常有将会是一个人就是说一个精英团队,这一那时候只必须忙着做工程、做紧急、写计划方案就可以了,业绩考核哪些的将会都没有人独立去考评,薪水都是领导干部依据你发髻线高宽比大致就定了。
但伴随着工作人员愈来愈多,所有人善于的方位和行业也是了不一样,这一那时候给所有人定一个薪酬就会有了一定难度系数。也有些人,技术性职位要是技术性好那麼薪酬毫无疑问就高,还说技术性职位的技术性工作能力非常好鉴定,但薪酬不仅是技术性层面,还涉及到主动性、饱满度、贡献率等,并且说技术性工作能力好鉴定的估算都是沒有细细地考虑到过的,例如你能说在一个渗透测试新项目里A挖的洞较为多非常明显,但你就是这样来鉴定A的工作能力比别人强就有点儿太苍白无力了。
根据这种考虑到,我们精英团队內部制订了一套对于渗透测试精英团队的技术性定级管理体系,供大家参考。
由于我们全是搞技术性出生,没有薪酬和人力资源有关工作经验,制订的定级管理体系也仅仅从技术性视角去考虑到,因此毫无疑问一些不科学的地区,巨头们不必见笑~~
我们制订定级管理体系的标准有以下几个:
1.全透明标准
它是全部技术性定级管理体系的设计方案关键。做为一个中小型初创期渗透测试精英团队(十来个人经营规模,并且水准全是较为水的那类,因而这一体制将会不适感用以较规模性的精英团队或试验室),我们必须一个全透明、自动化技术的体制来确保在技术性定级这一比较敏感难题(立即挂勾薪酬)上尽量的公平公正。
2.正确引导技术性为王的作风
终究還是初创期精英团队,大伙儿也全是在初中级成长过程,因此一个好的技术性气氛也可以正确引导大伙儿能科学研究的很深能走的很远,尽量减少一些人到工作中很多年后甘于做工程,技术性比较一般且成才比较慢,但涨薪时又会以工作经历老压着一些有工作能力的新手。而一个好的定级评价标准能不错的正确引导大伙儿迈向更高的技术实力。
3.尽可能确保全部项都能被量化分析
我们在设计方案每条考核标准的那时候都探讨过该条文可否被量化分析,确保该內容并不是十分模糊不清或是广泛的內容,尽可能能让大伙儿在申请办理该级別的那时候能依据自身的工作中去配对该考评项。
4.好几套考评紧密结合
我们不但只能这套技术性定级来最后给精英团队组员定级,我们还会融合本人的绩效考评(关键涉及到新项目量、新项目品质、汇报品质、工作中饱满度、工作主动性等)全年度考试成绩,来明确该组员可否晋升。绩效考评是一月绩效考核工资的考核方案,也会对组员的一月收益有一定危害,但是并不是我们今日探讨的重中之重。
应用领域
1.中小型初创期精英团队
精英团队处于迅速发展期,组员工作能力和水准变化较为大,新职工迎头赶上老职工的状况也较为普遍,此刻就必须有一套较为好的技术性定级规范来考量考评相对技术性提高。
2.左右均能认可该定级管理体系
每一级別常有不一样的10个鉴定实施方案,这10个实施方案来考量一个人的总体水准毫无疑问较为片面性,因此我们尽可能选择了一些较为有象征性、实用性的技术性点,无论是领导干部還是职工也都认同:要是工作能力能超过该水准就意味着能开展相对定级。
3.能够用于招骋
对每一级別的10条规定全是历经了用心赛选的,大伙儿也算都能认同的,因此这种信息内容还可以用于设计方案招聘职位或是用于对不一样技术性方面的招聘面试者开展招聘面试。
定级方式
我们现阶段是规定组员在申请办理相对技术级的那时候,每一级別下的10个鉴定实施方案中必须能考虑7个及左右。
此外,也容许约级可用条文,例如某组员在T2提前准备申请办理T3级时,将会一些T3的规定项不具有,但他具有T4的一些规定项,那麼他还可以用T4的某一个或好几个规定项来填补T3申请办理时的不够。
定级实施方案
我们将渗透测试技术性工作能力区别了7个级別,由于我们团队名是Tide,因此就用T来开展标志各个别了。此外,我们的“工作能力叙述”一些是效仿了阿里巴巴P级的级別叙述~~
再度申明,由于我们归属于初创期精英团队,因此这类级別鉴定的水准和层级都较为低,大伙儿感觉用得着的能够看一下,薪酬就是我顺手编的,经过的巨头就当看个段子就可以了~~(>_<)~~
T1(助理工程师)
级別设计方案初心:应届生见习生、web安全性新手
期限规定:0-1年
薪酬水准:6k-8k
工作能力叙述:
1)有有关技术专业教育经历或从事工作经验;
2)对公司职位的规范规定、现行政策、步骤等从事所必不可少掌握的专业知识处在学习培训成长过程;
3)能帮助进行渗透测试新项目。
工作能力规定:
1.了解Web安全性、手机端安全性等网络信息安全有关专业知识,掌握互联网安全法律法规与国家标准;
2.了解世界各国主流产品网络安全产品和专用工具,如:Nessus、Nmap、AWVS、Burp、Appscan等;
3.能不错的进行渗透测试计划方案制订、文本文档撰写等;
4.能依据测试用例开展逐一检测;
5.有极强的自学能力和刻苦钻研精神实质;
6.了解各种电脑操作系统及数据库查询普遍的网络安全问题和安全隐患,了解owasptop10;
7.了解各种网络安全产品、系统软件,如服务器防火墙、VPN、IPS、WAF、服务器防火墙、网页防篡改系统软件等;
8.具有一定编程入门,掌握或了解C/c语言/Perl/Python/PHP/Go/Java等编程语言;
9.具有优良沟通协调能力和口头表达能力;
10.有着自身的搏客、Github、安全性圈等;
T2(初级工程师)
级別设计方案初心:能单独进行新项目,具备一定系统漏洞发掘工作能力、应急处置工作能力
期限规定:0-1年
薪酬水准:8k-10k
工作能力叙述:
1)有有关技术专业教育经历或从事工作经验;
2)在技术专业行业中,针对本职位的每日任务和产出率很掌握,能单独进行基本渗透测试新项目,能相互配合进行繁杂每日任务;
3)具备一定系统漏洞发掘工作能力、应急处置工作能力。
工作能力规定:
1.了解主流产品的Web安全生产技术,把握Web安全性基本系统漏洞基本原理及预防措施,包含SQL引入、XSS、XXE、RCE等安全隐患;
2.能对测试用例开展逐一深层次检测,对检测记事本中的全部系统漏洞都掌握能够开展检测;
3.最少了解一门计算机语言C/c语言/Perl/Python/PHP/Go/Java等,可以开展脚本制作、系统漏洞认证的poc撰写或改变;
4.了解Linux和UNIX主流产品电脑操作系统和主流产品数据库查询(SQL、MySql、ORACLE等)并具有渗透测试工作能力;
5.能娴熟构建吊舱并开展系统漏洞重现,并有文章内容小结輸出3篇左右;
6.在各大网络安全问题服务平台、公司SRC服务平台递交系统漏洞;
7.解决过木马病毒、病毒感染、侵入、黑客攻击等突发性安全事故工作经验;
8.解析高风险系统漏洞基本原理和运用方法,编写有关技术总结文本文档;
9.具有WEB/APP(Android)渗透测试、数据信息隐私保护检验、安全风险评估、
服务器安全性结构加固、应急处置、安全性保驾护航等执行和交货工作能力;
10.对CTF赛事中的web题型有一定的科学研究工作经验,掌握加解密优先选择。
T3(中级工程师)
级別设计方案初心:有善于的安全性行业
期限规定:1年及左右
薪酬水准:10k-14k
工作能力叙述:
1)在技术专业行业中,对公司职位的规范规定、现行政策、步骤等从事所必不可少掌握的专业知识基础掌握,针对本职位的每日任务和产出率很掌握,能单独进行繁杂每日任务,可以发觉并解决困难;
2)在大中小型新项目之中能够出任项目经理职责;
3)对反向有一定掌握,有自身善于的安全性行业。
归根结底针对绝大多数初创期精英团队而言,销售市场上更富有、更富豪的企业都大有人在。针对绝大多数小企业而言沒有方法只靠钱人才引进。因此我们觉得根据好的团队凝聚力、办公环境,配搭适合的、有竞争能力的薪资待遇,是较为好的争得优秀人才的方法。再聊了因为我没公布薪资,上边薪酬纯碎靠编。。
