2025 Security 研發替代役面試分享

Introduction

終於找到時間來寫一下 2025 的面試心得跟經驗分享,有一部分也是因為看到研替幾乎沒有相關的心得,如果限制在資安產業或相關職缺更是寥寥可數,再加上近年來似乎多了不少也想踏入這個領域的新血,就寫一下個人經驗來做點貢獻。

總之這篇是專找資安領域的,個人有看到有研替名額的公司都有投,至於職缺方向的話,自己對攻擊方比較有興趣,所以資安研究員、滲透測試、紅隊,這三個偏攻擊面的職位都有投,但這台灣有符合這些條件的蠻少的,所以其實選擇不多,但如果你是對其他方有興趣的話應該會有很多選擇,就不限於這幾家了。

總之,以下是有投履歷的公司:

  • 台積電
  • DEVCORE
  • 奧義智慧
  • 中華資安
  • 中華電信
  • 趨勢科技
  • Synology
  • 聯發科
  • 美超微

背景介紹

最早是在 2024 年底就陸續開始投履歷及面試,找的是 2025 年的研替,主要背景條列如下:

  • 學歷
    • 交大資科工所碩 資安相關 Lab + 論文
  • 證照
    • OSWA, OSWE(OSWE 2025/01 才拿到,所以比較早投的沒寫上去)
  • 實習
    • 台積電: ISOC 實習漏洞研究 2 個月
    • DEVCORE:實習漏洞研究 5 個月
    • 台積電:MFGSIP 實習 IT DevOps 2 個月
    • 一家 fintech 新創:實習 + 正職後端工程師兩年
  • 其他
    • 數發部網路攻防演練攻擊手
    • 教育部攻防演練攻擊手(特優獎)
    • 16 ~ 18 個公開 CVE(在投履歷過程陸續公開,所以數字有變化)
    • 幾筆 HITCON ZeroDay 回報
    • 幾個 CTF 名次跟獎項
    • 一些資安營隊跟課程:幾次 AIS3、好厲駭、T5 CAMP 之類的

總之就是個 Web 狗,另外個人經驗比較偏一些實務的部分,實習或演練攻擊手之類的,背景比較雜一些,主要是因為碩士讀完才確認要走資安,所以中間做了蠻多不同的嘗試。不過自己其實沒什麼練過 HTB 之類的,所以其實滲透跟紅隊的經驗幾乎為零,只有比較熟一些 Web 相關的攻擊跟 Code Review 挖洞的經驗,但由於人在國外交換,且忙著修課跟論文,沒什麼時間可以補相關知識,基本上都是裸面 QQ

台積電

  • 職位:IT Security Engineer
  • 結果:Offer Got

這個其實是之前實習的 return offer,所以嚴格說起來沒有面試,只有 HR 面談確認意願跟履歷查核而已,但應該隨便查都一堆心得,所以應該不影響(?

時程:

  • Day0: HR 電聯說預計會給預聘,詢問意願同時發查核邀請
  • Day13: HR Teams 聯絡再次確認意願及介紹 Offer 跟薪資福利等,還有再次確認一些資歷跟畢業時間等資訊
  • Day33: 發 Offer

DEVCORE

  • 職位:Security Researcher, Penetration Tester
  • 結果:Rejected

應該不用特別介紹的一家公司,總之實習過之後就是心目中的第一志願。這邊其實分了兩階段投,先投了自己原本比較想要的研究員職位,但跟研究 Team 面談後,被建議可以先考慮從其他職位開始練習,自己考慮後決定先改投 PT 當成目標並一邊成長,後續再考慮職涯規劃。但就像前面有提到的,其實自己沒有特別花時間準備,而且在 PT 方面的知識跟經驗也不足,因此最後被刷掉了,但第二面的線上測驗也蠻有趣的,理論上應該要解得出來,但就差了臨門一腳。雖然最後結果有點可惜,但以後變強還有機會再面一次XD

但我認為如果願意花點時間練習跟準備的話,還是很推薦來面試看看的,我個人面過實習生跟這次的研替共兩次,雖然每次都被問倒到失去自信,但其實可以讓自己很快發現自己缺乏的技術、知識、甚至是心態。但想先聲明一點,這是一家只適合對資安夠有熱情的人的公司,在裡面可以感受到每個人是很熱愛甚至享受工作的,如果不是很確認自己的方向的話,可能不會太適合。至於怎麼練習的話
https://devco.re/blog/2024/07/09/guide-to-applying-for-red-team-specialist/
官網上的這篇應徵指南寫得蠻好的,有好好照著做應該是沒什麼問題XD

第一次時程:

  • Day0: cake 投履歷
  • Day12: 線上面談

第二次時程:

  • Day0: cake 投履歷
  • Day4: 通過第一階段,回信要求簽第二階段的 NDA
  • Day6: 收到第二階段資訊的 email
  • Day13: 完成第二階段
  • Day15: 因為第二階段完成度不佳,但快解出來了,所以給了第二次機會
  • Day19: 第二次的第二階段結束
  • Day48: 線上三面 w/五個人,主要就聊聊一些技術問題、有點像快問快答的技術測驗,最後進行人事介紹
  • Day53: Rejected

奧義智慧

  • 職位:Vulnerability Researcher
  • 結果:Rejected

奧義雖然沒有很熟,但有幸去過他們的實習生發表會,只記得公司很漂亮XD 過程雖然只有跟他們的 HR 聊到,但個人感覺還蠻不錯的,但可惜他們的名額不多,加上距離可以入職時間太久,所以被拒絕了,不過應該還是自己不夠強QQ 有點可惜沒面到他們的技術關,沒機會了解到太多

時程:

  • Day0: 104 投履歷
  • Day2: 104 回訊約一面時間
  • Day6: 線上 HR 一面
  • Day14: 104 約二面時間
  • Day20: 線上 HR 二面
  • Day27: Rejected

中華資安

  • 職位:資安工程師(紅隊研究暨研發)
  • 結果:Offer Got

中華雖然有點多職位都是開發相關的,但總之挑了一個看起來比較接近研究的職位投,畢竟也是很多大佬在裡面,相信也可以學到不少,所以原本就對這家蠻有興趣。但唯一缺點是流程跑得真的超久,大概是因為二面要跟總經理面試的關係,所以光是等二面就一兩個月了。不過比較有趣的是可能因為研替都是開發或研究,相對比較少 PT 或 RT,就沒有技術關卡,只有一面跟一堆主管聊天後,就通過等二面了;而且一面就五個人,其中還有副總,真的是陣容豪華。

不過雖然等很久,但二面結束後秒收到通過通知,倒是出乎我的意料XD

時程:

  • Day0: 104 投履歷
  • Day4: 104 回訊詢問畢業時間
  • Day10: 104 詢問 CVE 公開報告
  • Day11: 104 約一面時間
  • Day31: Email 面邀
  • Day35: 線上一面
  • Day73: 詢問二面時間
  • Day90: 線上二面,面試完後就馬上收到面試通過的 Email
  • Day119: HR 電聯,拿到電子 Offer

中華電信(中華電信資訊技術分公司)

  • 職位:資安檢測工程師
  • 結果:Offer Got

本來沒打算投中華電,但 HR 寄了邀請我去投履歷,蠻意外母公司還是有資安業務,本來以為全部拆給中華資安了,所以就順便去看看,但老實說從面試流程到主管們的面談,可以感受到還帶有一些傳統的文化,跟以前接觸的公司都比較不太一樣。不過其實蠻喜歡這個 HR 的,雖然感覺經驗沒有很豐富,但很有熱情、整個過程都很有耐心,態度也超級友善,拿到 Offer 在考慮期時,他甚至還多安排了一場跟裡面同事的 coffee talk 來幫助我做決定,害我最後真的很不好意思拒絕他 QQ

一開始一面本來只有現場,但說明了我在國外交換後,HR 就協助安排線上面試了,一面跟兩個匿名面試官面試,蠻有趣的但不知道為什麼連面試官都要匿名🤔;二面的話是寫主管面試,應該是不同人(?),但一樣是兩個匿名面試官。但,老實說跟其他家比較起來,感覺中華電面試官比較沒有資安相關的技術底子,問的問題感覺沒有很精確。最後拿到 Offer 薪資比期望低蠻多的,可以感受到可調整空間不大就沒特別刁難人家,不過在福利的部分就比中華資安贏蠻多的,畢竟是子公司比不上人家,但老實說看起來真的蠻 WLB 的XD,應該是很適合養老的地方

時程:

  • Day0: 官網投履歷
  • Day16: email 實體一面邀請,回信詢問能否改線上
  • Day24: email 寄線上一面邀請,以及適性測驗 120 題
  • Day27: 線上一面
  • Day49: 線上 HR + 主管二面
  • Day51: 發 Offer 但沒寫薪水跟職階🤔
  • Day61: 去信詢問以上資訊跟猶豫期
  • Day65: 電聯 HR 了解薪資結構等資訊,詢問調整空間
  • Day82: 再度電聯 HR,還有一名同職位的同事 coffee talk

趨勢科技

  • 職位:Engineer - threat research (MITRE)
  • 結果:無聲卡

本來不太喜歡這家,每次投履歷都無聲卡 ==,但畢竟選擇已經不太多了,還是嘗試投看看,總之請裡面的朋友內推,一面跟單位主管 1v1 聊了一下,感覺工作內容跟我原本追求的不太一樣,但其實蠻有趣的,聽起來可以接觸到蠻多之前沒碰過的東西,同時要求開發跟研究的能力,而且他們內部的紅藍隊基本上採對抗式,所以感覺可以學到很多XD 但最後喜提我從趨勢拿到的第三張無聲卡😡 聽起來應該一樣是畢業時間離太久的問題

時程:

  • Day0: 朋友系統上內推
  • Day15: HR 一面邀請
  • Day21: 線上一面

Synology

  • 職位:Product Developer (資安系統程式開發)
  • 結果:Rejected

這個投了就被秒拒,事後檢討大概是這個職位 title 是 Developer,所以資安算次要要求,本來是聽說他們自己有資安 team,但投遞的當下沒有,可能暫時沒缺了 QQ

時程:

  • Day0: 朋友系統上內推
  • Day5: Rejected

聯發科

  • 職位:2025校招/研發替代役/應屆預聘正職_軟韌體開發_SW engineering & automation Product security(MTK)
  • 結果:無聲卡

看到大學成績單後就被無聲卡了,大概是被大學超爛成績嚇到🤔

時程:

  • Day0: 系統上投履歷
  • Day13: 提醒上傳大學成績單

美超微

  • 職位:Software Design Engineer (Penetration test)
  • 結果:職缺關閉

又一個投完就把職缺關掉的,不過沒認識的不知道裡面發生什麼事,或單純找到人了而已🤔

時程:

  • Day0: 104 投,當天被讀履歷

Conclusion

這算是第一次認真投履歷找正職工作,但感覺因為畢業時間的問題被好幾家拒絕有點可惜,同時也認識到自己還有蠻多不足的地方,然後最後三個 offer 考慮了一陣子後,雖然薪資不是最高的,但至少綜合評估下來會做得比較開心,所以就跑去中華資安了,當然也有一部分是在台北可以住家裡XD

然後比較可惜是這次因為是研替身分的問題,只能投這些台灣公司,不然應該還是有不少資安公司可以找的,好想要找全遠端的,感覺只能未來再去找外商公司了。

然後偷抱怨一下 104 真的很爛,去年投的今年紀錄就消失了,害我有些細節都忘記了😡

最後,對於對想走資安的你,除非你真的很有愛,不然還是走其他路吧,不然會窮死🫠