阿里云阿里云智能-代码扫描能力研发专家-杭州/北京
任职要求
1. 熟悉至少一种常见后端编程语言(如Java、Python、Golang),具备扎实的代码开发能力; 2. 掌握常见的代码安全漏洞原理(如OWASP Top 10)及其修复方法; 3. 具备白盒代码扫描工具使用或开发经验,熟悉静态代码分析技术(SAST)及相关工具; 4. 熟悉软件供应链安全相关技术(如SBOM、依赖项扫描、第三方组件漏洞管理),有实际项目经验者优先; 5. 熟练使用MySQL、Redis等常用数据库,了解事务处理、缓存设计等架构知识; 6. 具备良好的团队协作能力、快速学习能力和项目管理能力; 7. 具备大模型在安全领域的开发应用经验。 加分项 1. 熟悉云原生架构,有基于云环境的安全工具开发经验; 2. 熟悉CI/CD流水线集成,能够将代码安全检测无缝嵌入开发流程; 3. 具备大型企业级代码安全平台或供应链安全平台的研发经验; 4. 熟悉动态应用安全测试(DAST)或交互式应用安全测试(IAST)技术; 5. 对开源组件安全有深入研究,能够识别和评估第三方库的安全风险; 6. 熟悉常见的安全攻防技术,能够从攻击者视角发现潜在的安全隐患。
工作职责
1. 负责阿里云核心业务的白盒代码扫描工具的研发与优化,提升代码安全检测能力; 2. 参与供应链安全扫描平台的建设,构建覆盖软件开发生命周期的安全保障体系; 3. 深入分析常见漏洞类型(如SQL注入、命令注入、越权访问、认证绕过等),设计并实现自动化检测规则及修复建议; 4. 与研发团队协作,建立高效的代码安全审查流程,确保产品上线前的安全性; 5. 构建大规模代码安全检测和扫描系统,保障系统稳定性和检测效率; 6. 跟踪业界最新的代码安全与供应链安全技术演进动态,推动前沿技术在阿里云安全体系中的落地。
团队介绍:TikTok是一个覆盖150个国家和地区的国际短视频平台,我们希望通过TikTok发现真实、有趣的瞬间,让生活更美好。TikTok 在全球各地设有办公室,全球总部位于洛杉矶和新加坡,办公地点还包括纽约、伦敦、都柏林、巴黎、柏林、迪拜、雅加达、首尔和东京等多个城市。 TikTok研发团队,旨在实现TikTok业务的研发工作,搭建及维护业界领先的产品。加入我们,你能接触到包括用户增长、社交、直播、电商C端、内容创造、内容消费等核心业务场景,支持产品在全球赛道上高速发展;也能接触到包括服务架构、基础技术等方向上的技术挑战,保障业务持续高质量、高效率、且安全地为用户服务;同时还能为不同业务场景提供全面的技术解决方案,优化各项产品指标及用户体验。 在这里, 有大牛带队与大家一同不断探索前沿, 突破想象空间。 在这里,你的每一行代码都将服务亿万用户。在这里,团队专业且纯粹,合作氛围平等且轻松。目前在北京,上海,杭州、广州、深圳分别开放多个岗位机会。 1、负责iOS/Android日常发布,问题应急处理与推进解决,确保版本按时发布; 2、利用代码扫描、自动化、众/内测、监控劣化等手段,挖掘集成回归后存在的客户端问题,并做推进解决; 3、通过对发布指标:遗留Bug、高优Bug、一灰后必解问题的分析和度量,发现发版过程中存在的问题,推动发版提效。

岗位职责: 1. 负责研发效能领域AIGC方向探索,挖掘在需求规划、代码开发、测试流程、发布流程等阶段,利用AI能力辅助提效的场景并落地 2. 负责研发效能平台在业务域的落地,促成全司研发效能提升,包括工具平台应用落地、效能度量、效能提升方案落地。 3. 负责研发效能整体AI技术演进,规划和引入前沿效能提升手段,结合业务具体痛点问题不断提升 4. AIGC前沿问题探索和研究,包括但不限于基于智能问答、代码生成、视频生成、prompt工程等方向;
聚焦企业内部安全工具链能力建设,构建高效实用的代码或镜像检测工具。 1. 负责安全检测工具的构建与能力演进,提升检测效率与精准率; 2. 将安全能力组件化、服务化,深度嵌入 GitLab、Jenkins、Gerrit、飞书等主流平台,实现自动化检测与闭环处理,提升开发者漏洞修复效率; 3. 对接 SRC 与开发流程,构建漏洞分发、责任归属、修复验证自化流程,打通从外部输入到内部修复的通道; 4. 协同蓝军进行实战对抗后漏洞验证、复现、下发与再利用分析,推动战后漏洞平台化治理与自动化检测能力建设; 5. 关注 AI 编码等新型研发模式下的安全挑战,探索前沿检测机制并推动验证。
聚焦企业级安全研发流程平台化能力构建与安全度量指标落地。 1. 构建适配企业技术栈与组织模型的安全开发生命周期流程,嵌入产品需求、设计、开发、测试、上线等各阶段; 2. 推动研发各阶段关键安全控制点建设,制定安全需求评审机制,建立统一的安全需求评审、追踪与闭环流程; 3. 评估与引入检测工具,推动其与内部研发平台集成,实现安全扫描、责任归属、修复跟踪的自动化闭环; 4. 建立关键研发流程的安全度量指标体系,推动组织安全水平持续提升; 5. 建立用户调研机制,收集开发人员在安全需求评审、平台使用体验、漏洞有效性等方面的反馈,持续迭代产品功能与规则集,提升整体用户满意度; 6. 设计安全培训、开发者赋能与安全文化活动机制,提升全员安全意识与参与度。