字节跳动高级测试开发工程师-安全合规
任职要求
1、本科及以上学历,计算机相关专业,3年及以上测试开发经验; 2、具备工具开发能力,熟练使用Python/Golang/Java中至少一种编程语言; 3、善于团队合作,沟通协作和解决…
工作职责
1、负责产品隐私安全及数据合规专项质量保障工作,协同产品研发团队高质量交付产品安全基建能力及安全合规专项; 2、负责体系化搭建隐私合规业务的测试架构和工具体系,提高质量和测试效率; 3、深度参与安全合规质量体系规划及建设、参与安全质量评估及度量标准建立,并根据度量结果寻找质量提升方法,在业务落地。
1. 全域质量策略设计 ○ 基于产品架构与业务场景(客户端/小程序/H5/PC Web),设计覆盖功能、性能、安全、兼容性、用户体验的多维度质量保障方案,并推动全流程落地 ○ 主导质量左移:参与需求评审与技术设计,识别可测性风险,制定预防性测试策略(如接口契约测试、混沌工程) 2. 智能化质量基建开发 ○ 构建/优化自动化测试平台,集成机器视觉(OCR/图像聚类)、智能遍历(如SmartBot)、精准测试等能力,提升多端UI自动化覆盖率和问题发现效率 ○ 搭建持续质量流水线(CI/CT/CD),实现小时级回归验证,支持敏捷迭代 3. 复杂问题攻关与技术创新 ○ 主导解决多语言/多时区/多币种兼容性、弱网络可靠性、第三方SDK集成等全球化场景下的质量难题 ○ 探索AI在测试中的应用(如基于深度学习的异常预测、测试用例生成),推动质量体系技术升级 4. 质量效能提升与赋能 ○ 通过质量度量体系(缺陷密度/逃逸率/自动化覆盖率)驱动流程优化,降低质量成本 ○ 沉淀标准化工具链与最佳实践,赋能海外团队及合作伙伴(如小程序开发者)
- 面向公司内部视频智能剪辑工具的端到端研发:React/TypeScript 前端(时间线与轨道、剪切/拼接、转场/滤镜、字幕/音频波形、素材管理)、Java/Spring Boot 后端(转码/合成任务编排、权限与审核、导出/发布流水线),覆盖需求评审、API 设计、数据建模与上线运维全流程; - 参与/主导系统与架构设计:领域建模与边界划分、模块/插件化与扩展点设计、BFF/微服务拆分、任务队列与异步处理、幂等与重试、存储与缓存策略、对象存储/CDN/搜索等基础设施建设;针对音视频场景进行技术选型(FFmpeg、Media APIs、WebAssembly/WebCodecs/WebGL 等); - 负责前端技术方案与工程化:组件化与状态管理、复杂交互与性能优化(虚拟化时间线、渐进渲染、分片加载、Worker/OffscreenCanvas)、构建提速与包体积治理、可访问性与可用性体验; - 推动代码质量与可靠性:编码规范与 Code Review、单元/集成/E2E 测试、契约测试、静态检查与类型约束、异常与容错策略、性能与稳定性指标(如导出成功率、端到端耗时、Core Web Vitals、99.9% 可用性); - 持续完善可观测性与运维:日志/指标/链路追踪(OpenTelemetry)、错误告警、容量评估与弹性扩缩、灰度发布与快速回滚;构建用于多媒体处理的任务监控与可视化面板; - 工程效率与 AI 助力:熟练使用 Cursor 等 AI 开发工具进行跨文件重构、目标化编辑、测试/文档生成与方案验证,沉淀提示词与使用规范,提升交付效率与一致性; - 与产品、设计、算法/多媒体与运维团队高效协作,按期高质量交付。
职位描述: 1. 系统开发:主导密码系统核心功能模块的架构设计与代码开发,包括但不限于密码生成、加密解密算法实现、密钥管理系统(KMS)开发、安全协议(如SSL/TLS、IPsec)的集成,确保系统的高安全性、高性能和可扩展性; 2. 技术攻关:针对密码系统开发过程中遇到的复杂技术问题,如密码算法优化、安全漏洞修复等,提供创新性的解决方案,攻克技术难点; 3. 系统维护:负责密码系统日常运维支持,及时处理系统运行过程中的故障、性能瓶颈问题,保障系统稳定运行;对系统进行持续优化和升级,提升系统整体安全防护能力; 4. 协作沟通:与产品、安全、测试等团队紧密协作,参与需求分析、技术评审,确保技术方案符合业务需求和安全标准;指导初级开发人员,提升团队整体技术水平; 5. 安全合规:深入研究密码学相关法律法规和行业标准(如国密算法标准),确保密码系统开发和运行满足合规要求,推动系统通过相关安全认证。
1. 安全测试体系建设与优化 主导设计覆盖SDLC全流程的自动化安全测试体系,整合SAST、DAST、SCA、IAST等工具链,建立多维度的风险识别机制 持续优化漏洞检测策略与工具性能指标(如检出率/误报率/扫描效率),输出可量化的安全能力提升方案 2. 白盒安全能力建设 基于静态代码分析(SAST)技术构建代码安全门禁,设计精准的规则引擎与扫描策略 主导开发语言级安全缺陷模式研究(Java/Go/Python等),通过污点分析、控制流分析等技术实现高危漏洞的精准定位 建立软件成分分析(SCA)的组件风险评级体系,制定开源组件准入规范 3. 黑盒安全测试实施 主导关键业务系统的渗透测试,覆盖Web/API/移动端等多类攻击面 设计基于ATT&CK框架的攻击模拟方案,探索AI Agent自动化渗透测试等前沿技术应用 负责漏洞赏金项目运营与应急响应,建立漏洞有效性验证与分级响应机制 4. 安全缺陷全生命周期管理 制定漏洞CVSS评级标准与修复SLA机制,输出包含PoC验证、影响范围分析、修复建议的标准化报告 与DevOps团队协作设计安全左移方案,推动安全测试能力与CI/CD管道的深度集成