希音高级应用安全工程师(安全测试方向)
任职要求
3年以上应用安全测试经验,精通OWASP Top 10、CWE/SANS Top25等漏洞标准具备攻防对抗实战经验,熟悉常见漏洞利用技术(如反序列化/SSRF/JWT绕过等)技术方向要求(满足其一)【白盒方向】 精通Java/Go/Python中至少一门语言的代码审计,熟悉AST抽象语法树分析原理 具有FindSecBugs/Semgrep等工具规则开发经验,或SonarQube/Fortify等SAST工具调优经验 熟悉SCA工具(如Blackduck/DependencyCheck)的Lic…
工作职责
1. 安全测试体系建设与优化 主导设计覆盖SDLC全流程的自动化安全测试体系,整合SAST、DAST、SCA、IAST等工具链,建立多维度的风险识别机制 持续优化漏洞检测策略与工具性能指标(如检出率/误报率/扫描效率),输出可量化的安全能力提升方案 2. 白盒安全能力建设 基于静态代码分析(SAST)技术构建代码安全门禁,设计精准的规则引擎与扫描策略 主导开发语言级安全缺陷模式研究(Java/Go/Python等),通过污点分析、控制流分析等技术实现高危漏洞的精准定位 建立软件成分分析(SCA)的组件风险评级体系,制定开源组件准入规范 3. 黑盒安全测试实施 主导关键业务系统的渗透测试,覆盖Web/API/移动端等多类攻击面 设计基于ATT&CK框架的攻击模拟方案,探索AI Agent自动化渗透测试等前沿技术应用 负责漏洞赏金项目运营与应急响应,建立漏洞有效性验证与分级响应机制 4. 安全缺陷全生命周期管理 制定漏洞CVSS评级标准与修复SLA机制,输出包含PoC验证、影响范围分析、修复建议的标准化报告 与DevOps团队协作设计安全左移方案,推动安全测试能力与CI/CD管道的深度集成
1. 负责安全风险审计,覆盖数据、应用、网络、物理安全等领域,识别策略与流程设计及执行漏洞,提出优化建议并推动整改 2. 负责个人信息保护合规审计,确保符合外部监管及内部合规要求 3. 利用安全审计工具开展审计,识别异常行为或潜在威胁
1. 负责设计提升覆盖云原生环境的DDR安全检测能力,构建和优化高级威胁检测模型,在海量日志和数据活动中精准识别异常行为和潜在威胁。 2. 负责数据库SQL审计、数据安全中心等安全产品核心DDR安全能力,通过AI赋能产品,进行相关安全架构设计、评估与实现、推动安全技术架构解决方案落地。 3. 设计和推动客户侧云安全事件的产品应急响应流程,包括事件研判、攻击溯源、风险评估和响应闭环处置。 4. 评估、测试业界前沿的DDR技术和解决方案,持续提升团队的威胁检测与响应能力。
1、某个业务域项目PTM,明确分工、理清接口、把控项目风险和节奏,拿到确定的结果 2、深入理解业务,在产品设计及技术设计阶段能够提出合理的改进和优化建议 3、能够根据业务理解和业务价值,对需求价值和优先级有自己独立的判断 4、保障项目的可持续交付,熟练应用工具进行监控设计,性能测试、安全测试、资金防控及高可用保障等技术,保障资金安全和业务的高可用 5、能够结合项目和业务需求,独立完成框架或者工具的优化,并在团队应用,提升覆盖率或效率;了解其他团队的测试框架、优选方法,并将相应的方法引入到具体工作中,切实提升工作效率 6、有一定AI相关业务如:智能服务托管,智能语音等测试经验者更优
-主导自动驾驶信息安全产品服务端后台的设计和研发工作,确保项目的顺利进行和高质量交付 -根据需求进行功能模块化拆解、设计文档编写、编码、单元测试,确保系统的稳定性与可扩展性 -负责后端模块及服务在可扩展、高可用、高并发、可运维等方向的技术优化 -撰写并更新系统相关文档,为团队提供完整、准确的技术支持