理想汽车SDL安全专家
任职要求
1. 具备 5 年以上软件开发、安全开发或安全工程经验,理解主流研发流程,能深度嵌入研发场景开展工作; 2. 有安全需求管理、代码扫描治理、依赖风险管理等实践经验,主导或参与过组织级 SDLC 流程设计优先; 3. 具备一定平台化能力,能基于内部业务开发或集成安全能力服务化的交付方式; 4. 具备良好的跨部门沟通能力,能以目标为导向协调多方达成共识并推动安全措施落地; 5. 有数据意识与指标导向思维,能构建安全度量体系并持续改进。
工作职责
聚焦企业级安全研发流程平台化能力构建与安全度量指标落地。 1. 构建适配企业技术栈与组织模型的安全开发生命周期流程,嵌入产品需求、设计、开发、测试、上线等各阶段; 2. 推动研发各阶段关键安全控制点建设,制定安全需求评审机制,建立统一的安全需求评审、追踪与闭环流程; 3. 评估与引入检测工具,推动其与内部研发平台集成,实现安全扫描、责任归属、修复跟踪的自动化闭环; 4. 建立关键研发流程的安全度量指标体系,推动组织安全水平持续提升; 5. 建立用户调研机制,收集开发人员在安全需求评审、平台使用体验、漏洞有效性等方面的反馈,持续迭代产品功能与规则集,提升整体用户满意度; 6. 设计安全培训、开发者赋能与安全文化活动机制,提升全员安全意识与参与度。
1. 主导公司核心业务、云原生(微服务、K8s、Service Mesh)及数据平台的安全架构设计与评审,确保其具备内置的安全性。 2. 负责对业界新出的漏洞进行跟踪分析,并驱动落地。 3. 负责安全对抗相关的数据和行为分析,提前感知风险。领导针对重大安全事件的应急响应,包括应急响应流程建设,应急演练,应急处理,复盘总结。 4. 通过编写代码(Python/Go/Java)构建自动化工具和安全平台,将安全能力(如漏洞扫描、基线检查、证书管理)产品化、服务化,赋能开发与运维团队。 5. 负责DevSecOps工具链的架构设计,并实现安全功能在DevOps过程中敏捷落地 6. 负责SDL(安全开发生命周期)的落地,明确软件开发项目的安全管控流程,为研发团队提供权威的安全编码咨询、培训和代码审计。
1、作为技术专家角色,参与软件安全相关设计与评审,分析和识别产品的架构、设计、实现的安全和隐私保护风险,针对性的进行产品安全方案设计,持续优化产品的安全工程技术能力; 2、为产品开发团队提供安全方案、安全知识等,解决安全技术问题,难点技术攻关等; 3、参与SDL安全开发流程的建设,制定安全基线、安全开发指南、安全编码规范; 4、负责各类安全问题和安全事件的跟踪分析,组织协调突发安全事件的应急响应; 5、跟踪国内外最新安全技术动态,对公司的产品安全进行相应评估以及漏洞追踪。
1.依据年度审计计划,独立执行IT系统、数据安全、业务流程等专项审计,识别潜在风险与内控缺陷,提出可落地的改进建议,并跟踪整改落实情况; 2.针对IT基础设施(如网络架构、云平台、数据库等)开展风险评估,确保其符合公司政策和行业规范; 3.执行IT合规审计,评估公司IT政策、流程与外部法规(如SOX、网络安全法)的符合性,协助完善内控体系; 4.结合业务风险场景(如交易欺诈、数据泄露),统筹推动审计系统部署风险监控模型的搭建工作,定期输出风险报告并推动问题闭环; 5.维护审计分析工具与脚本,提升审计效率(如自动化日志分析、异常交易检测); 6.探索审计技术创新(如AI辅助审计工具),推动数字化转型。
1.负责SDL体系建设,包括源代码白盒审计,安全测试自动化等。 2.负责本地生活相关业务线的安全评审,代码审计,安全检测与响应等工作。 3.负责跟踪业界前沿的安全攻防技术、研究黑灰产攻击手法,落地检测防护方案。 4.负责本地生活数据安全技术前瞻性研究,沉淀数据安全技术和孵化数据安全工具或产品。