希音高级应用安全工程师(安全测试方向)
任职要求
3年以上应用安全测试经验,精通OWASP Top 10、CWE/SANS Top25等漏洞标准具备攻防对抗实战经验,熟悉常见漏洞利用技术(如反序列化/SSRF/JWT绕过等)技术方向要求(满足其一)【白盒方向】 精通Java/Go/Python中至少一门语言的代码审计,熟悉AST抽象语法树分析原理 具有FindSecBugs/Semgrep等工具规则开发经验,或SonarQube/Fortify等SAST工具调优经验 熟悉SCA工具(如Blackduck/DependencyCheck)的License合规与漏洞关联分析 【黑盒方向】 掌握BurpSuite/Sqlmap等渗透工具深度使用技巧,具有大型分布式系统渗透测试经验 熟悉云原生环境攻击手法(如K8s逃逸/Serverless函数注入),持有OSCP/OSWE认证者优先 具有漏洞赏金平台(如HackerOne)TOP100排名经验或重大漏洞披露案例 【工程能力要求】 熟练使用Python/Go开发自动化检测工具,具有安全测试工具链建设经验 熟悉Jenkins/GitLab CI等流水线工具,具备安全测试能力与CI/CD集成实战经验
工作职责
1. 安全测试体系建设与优化 主导设计覆盖SDLC全流程的自动化安全测试体系,整合SAST、DAST、SCA、IAST等工具链,建立多维度的风险识别机制 持续优化漏洞检测策略与工具性能指标(如检出率/误报率/扫描效率),输出可量化的安全能力提升方案 2. 白盒安全能力建设 基于静态代码分析(SAST)技术构建代码安全门禁,设计精准的规则引擎与扫描策略 主导开发语言级安全缺陷模式研究(Java/Go/Python等),通过污点分析、控制流分析等技术实现高危漏洞的精准定位 建立软件成分分析(SCA)的组件风险评级体系,制定开源组件准入规范 3. 黑盒安全测试实施 主导关键业务系统的渗透测试,覆盖Web/API/移动端等多类攻击面 设计基于ATT&CK框架的攻击模拟方案,探索AI Agent自动化渗透测试等前沿技术应用 负责漏洞赏金项目运营与应急响应,建立漏洞有效性验证与分级响应机制 4. 安全缺陷全生命周期管理 制定漏洞CVSS评级标准与修复SLA机制,输出包含PoC验证、影响范围分析、修复建议的标准化报告 与DevOps团队协作设计安全左移方案,推动安全测试能力与CI/CD管道的深度集成
1. 负责政务云安全运营工作,确保政务云平台安全稳定运行,对平台侧安全结果负责; 2. 负责政务云平台的安全策略制定与实施,确保政务数据的安全性、完整性和可用性; 3. 负责政务云平台网络及应用安全事件的风险预警、溯源、协同、跟踪、改进优化及事后评估; 4. 负责安全应急响应流程的设计与优化,在发生安全事件时能够快速响应并采取有效措施消除风险; 5. 负责应用安全管控和审计体系建设,包括应用安全产品规划立项、产品部署、使用改进、策略优化等,也包括与周边云产品配合达到行之有效的管控和审计效果; 6. 负责政务云平台及应用相关的漏洞扫描、安全渗透、黑白盒测试,并协助跟进风险闭环; 7. 负责团队内部安全体系建设与运营,提升团队整体安全意识和技术水平。
1. 负责安全风险审计,覆盖数据、应用、网络、物理安全等领域,识别策略与流程设计及执行漏洞,提出优化建议并推动整改 2. 负责个人信息保护合规审计,确保符合外部监管及内部合规要求 3. 利用安全审计工具开展审计,识别异常行为或潜在威胁
1. 负责设计提升覆盖云原生环境的DDR安全检测能力,构建和优化高级威胁检测模型,在海量日志和数据活动中精准识别异常行为和潜在威胁。 2. 负责数据库SQL审计、数据安全中心等安全产品核心DDR安全能力,通过AI赋能产品,进行相关安全架构设计、评估与实现、推动安全技术架构解决方案落地。 3. 设计和推动客户侧云安全事件的产品应急响应流程,包括事件研判、攻击溯源、风险评估和响应闭环处置。 4. 评估、测试业界前沿的DDR技术和解决方案,持续提升团队的威胁检测与响应能力。
1、某个业务域项目PTM,明确分工、理清接口、把控项目风险和节奏,拿到确定的结果 2、深入理解业务,在产品设计及技术设计阶段能够提出合理的改进和优化建议 3、能够根据业务理解和业务价值,对需求价值和优先级有自己独立的判断 4、保障项目的可持续交付,熟练应用工具进行监控设计,性能测试、安全测试、资金防控及高可用保障等技术,保障资金安全和业务的高可用 5、能够结合项目和业务需求,独立完成框架或者工具的优化,并在团队应用,提升覆盖率或效率;了解其他团队的测试框架、优选方法,并将相应的方法引入到具体工作中,切实提升工作效率 6、有一定AI相关业务如:智能服务托管,智能语音等测试经验者更优