理想汽车SDL安全工具链研发专家
任职要求
1. 熟悉主流安全检测工具原理,并具备相关规则引擎、插件开发或二次开发经验; 2. 有从 0 到 1 搭建或重构安全工具链、扫描平台、漏洞治理平台等经验; 3. 理解红蓝对抗流程,具备蓝军思维或红队配合经验者优先; 4. 具备 AI 代码生成场景下安全检测能力研究经验者优先。
工作职责
聚焦企业内部安全工具链能力建设,构建高效实用的代码或镜像检测工具。 1. 负责安全检测工具的构建与能力演进,提升检测效率与精准率; 2. 将安全能力组件化、服务化,深度嵌入 GitLab、Jenkins、Gerrit、飞书等主流平台,实现自动化检测与闭环处理,提升开发者漏洞修复效率; 3. 对接 SRC 与开发流程,构建漏洞分发、责任归属、修复验证自化流程,打通从外部输入到内部修复的通道; 4. 协同蓝军进行实战对抗后漏洞验证、复现、下发与再利用分析,推动战后漏洞平台化治理与自动化检测能力建设; 5. 关注 AI 编码等新型研发模式下的安全挑战,探索前沿检测机制并推动验证。
1. 主导公司核心业务、云原生(微服务、K8s、Service Mesh)及数据平台的安全架构设计与评审,确保其具备内置的安全性。 2. 负责对业界新出的漏洞进行跟踪分析,并驱动落地。 3. 负责安全对抗相关的数据和行为分析,提前感知风险。领导针对重大安全事件的应急响应,包括应急响应流程建设,应急演练,应急处理,复盘总结。 4. 通过编写代码(Python/Go/Java)构建自动化工具和安全平台,将安全能力(如漏洞扫描、基线检查、证书管理)产品化、服务化,赋能开发与运维团队。 5. 负责DevSecOps工具链的架构设计,并实现安全功能在DevOps过程中敏捷落地 6. 负责SDL(安全开发生命周期)的落地,明确软件开发项目的安全管控流程,为研发团队提供权威的安全编码咨询、培训和代码审计。
1. SDL体系升级 * 主导多业务线SDL流程优化,推动威胁建模、安全设计评审等环节深度融入CI/CD流水线,实现安全左移 * 设计研发安全度量指标体系,建立代码安全质量、漏洞检出率和时效、安全需求覆盖率等维度的度量能力 2. 工具链运营创新 * 管理SAST/DAST/IAST工具矩阵,通过策略优化和自动化编排实现工具在研发流水线智能调度 * AI辅助研发安全的探索和运用,如漏洞挖掘和修复、安全需求评估等,提升研发安全效能,减少安全摩擦力 3. 研发效能平衡 * 通过业务和技术栈的分层策略,优化研发安全的流程/工具和策略,实现0延迟的发版体验 * 搭建安全能力中台,沉淀通用组件库(如认证鉴权、加密服务SDK) * 开发情景化培训课程体系(含威胁建模、安全编码Workshop) 4. 跨部门协同 * 主导公司研发安全体系运作,协调各业务线落地安全中台、研发安全效能提升等方案 * 建立各业务线安全BP机制,提升业务线安全责任和素养,推动安全与合规工作在业务线的平衡落地
1. 负责BG区块链相关SDL工作,包括应用安全评审、安全测试、代码审计、安全方案沉淀、安全漏洞修复跟进,验证; 2. 负责BG区块链相关安全安全运营、安全对抗; 3. 负责BG区块链安全应急响应工作,包括应急响应流程建设,应急演练,应急处理,复盘总结; 4. 熟悉数据量化分析各类信息安全数据,制定安全SLA,并优化和完善现有的安全策略,推动方案在业务侧落地。
- 负责DevSecOps相关工具(SAST、SCA、IAST)的规则、模型建设。 - 关注业务风险变化,CISO痛点和需求,负责安全专项、样板间,反哺产品和技术,促进产品和技术的提升。 - 负责某一横向的安全方向(例如:软件供应链、营销薅羊毛),系统性的管控或解决此方向的安全问题。