Kristina Balaam 谈闯入安保部门

这篇文章来自我的“开发者聊天”系列，我每周都会与一位优秀的开发者或技术人员进行交流。你可以在这里阅读更多内容。如果你觉得这些内容对你有用，请在评论区告诉我！

介绍一下你自己！你是谁？你在哪里工作？

大家好！我是 Kristina Balaam。我是 Shopify 的应用安全工程师，常驻多伦多办公室。

是谁或什么事情让您进入编程和技术领域的？

我从很小的时候就对电脑感兴趣。电子游戏可以说是我的“入门毒品”。谢天谢地，我的父母非常鼓励我对电子游戏的热爱。我两岁时，他们就开始给我玩世嘉Master System，不久后又带我接触电脑游戏。作为一个每周跳舞30个小时的内向孩子，电脑简直就是治愈我“内向宿醉”的良药。90年代末，我特别喜欢一款叫做尼奥宠物（Neopets）的游戏。它有点像电子宠物（Tamagotchi）和某种儿童社交网络的结合体。你可以自定义宠物的“主页”，所以我开始学习HTML和CSS来做到这一点。很快，我就对尼奥宠物失去了兴趣，爱上了编写代码，并开始自学PHP和Javascript。我在网上遇到了一些非常棒的导师。其中一位名叫克莱尔（Claire）的女性，她拥有自己的网站托管服务好几年了。她的工作给了我很大的启发，我找到了其他几位女性，她们也为任何有兴趣建立自己网站的人提供托管空间。

您是如何转型到安保行业的？这个行业有什么让您感到兴奋的地方吗？

我对安全的兴趣由来已久，大概可以追溯到高中时期。我有一个自建博客，有人在上面发表了一些非常不恰当的评论。我设法追踪到他们的IP地址，找到了我学校的一台电脑。我运用了一些社会工程学知识，找到了真正的责任人，并与他沟通，制止了这种行为。可惜的是，我的计算机科学专业并没有提供真正的计算机安全课程；很多基础知识都融入了其他课程。我一直认为，为了专注于安全领域，我需要读一个硕士课程。这成了我的最终目标：攻读非全日制硕士学位，并最终实现转型。然而，我了解到，实际上有很多高校都提供计算机安全课程，有些甚至可以在线学习。我报考了几个研究生证书课程：一个是斯坦福大学的高级计算机安全专业，另一个是瑞尔森大学的数字取证与密码学专业。在完成这些工作的同时，我很庆幸能够转到应用程序安全团队的职位，这样我的日常工作就更符合我的整体职业目标了。

这个领域有很多让我兴奋的地方，但我认为我最感兴趣的还是个人保护。我们生活在一个互联程度日益提升的世界，我们听到过婴儿监视器被黑客入侵，陌生人对幼儿说些不恰当的话。这种权力和对个人生活的干预是不可接受的，我希望能成为解决方案的一部分。   

您会如何建议某人“闯入”计算机安全行业？

不要纠结于没有某种职称或学位。开始尽可能多地学习，合法地入侵应用程序，参与漏洞赏金计划，并确保你能够证明你理解你所学的知识！大多数安全团队都严重缺人，所以如果你能展现出热情、毅力和能力，你应该能够找到一个能帮助你继续成长的职位！

Instagram 上大约有 10,000 名粉丝，这对您的事业有何帮助？

我的 Instagram 关注者在过去 6 个月内才真正开始增长，但它对于建立联系和促进与该领域其他人的介绍非常有用！

到目前为止，您在软件职业生涯中学到的最艰难的教训是什么？

这绝对是为了防止不安全感和自我怀疑阻碍你前进。我曾饱受“冒名顶替综合症”的折磨，差点就因为觉得自己根本没希望成功而放弃了很多机会（Shopify 差点就成功了！）。我仍然在为此挣扎，但我发现这几乎是每个人都会经历的挣扎，与他人讨论这个问题真的是一种宣泄。

对于成功的软件职业生涯，您最重要的建议是什么？

永不停止学习。我们的行业变化如此之快，虽然不可能成为每个领域的专家，但紧跟相关问题和技术的步伐至关重要。我真的不认为每个人都需要重返校园，或者继续以某种结构化、制度化的方式学习；这只是我最擅长的学习方式。我们拥有如此多的宝贵资源——免费的在线课程、领域专家的博客文章、聚会、黑客马拉松、会议等等。如果你的公司不支持你的职业发展，那他们就是在损害自身利益。如果他们提供职业发展支持，请务必（负责任地，哈哈）充分利用，以免阻碍你的成长！

 

当你向某人模仿编程时，你是使用霸王龙手臂，还是摆动手指？

总是霸王龙的手臂，但最好是打字猫的 gif。

你工作之余有什么爱好吗？你认为它们对你的科技事业有帮助吗？

我弹了17年的钢琴，虽然现在弹得生疏了，但我仍然努力练习。大学时我结束了舞蹈生涯，但现在用跑步、骑自行车和瑜伽取而代之。我还积极参与多伦多的素食/纯素食社群。我目前正在学习普通话，我认为这可能是对我的职业生涯最有益的爱好。

您会推荐哪些书籍/资源？

我要毫不掩饰地推荐一下我同事 Peter Yaworski 的书《Web Hacking 101》。这本书真的非常棒，前言是由漏洞赏金网站 Hacker0x01 的创始人撰写的。我还推荐Cyber​​Security Humble Bundles。它们偶尔会推出，但价格很划算。这些书以 PDF 格式提供，价格非常便宜，而且部分收益会捐给慈善机构。我还认为动手实践非常重要。大多数大城市都举办 CTF（夺旗赛），网上也有很多。有机会亲身尝试入侵易受攻击的网络、移动或桌面应用程序是一项巨大的挑战（而且不会被捕！）。在谷歌上快速搜索“在线 CTF”或“<您所在城市>的 CTF”，就能找到很多很棒的选择！

最后，说说你最想让读者看什么吧！

我非常热衷于导师制，所以如果你对安全行业感兴趣，欢迎随时通过 Twitter ( @chmodxx_ ) 或 Instagram ( @chmodxx ) 联系我！我自己也还比较新，但很乐意分享我目前学到的知识 :)