得物【安全保障】应用安全工程师/安全产品工程师
任职要求
1、有应用安全业务实施经验,熟悉SDL、漏洞管理、自动化工具;熟悉DAST原理、产品设计及实现方案,了解SAST、IAST等工具原理及运营;
2、有漏洞挖掘、渗透测试相关经验,能准确判断安全风险;
3、对常见漏洞原理、危害、利用、绕…工作职责
1、参与公司的SDL体系建设,负责得物安全漏洞扫描产品(如黑盒、白盒、灰盒、基线检测等)的设计与推进工作; 2、负责黑盒漏洞扫描器运营工作,包括但不限于扫描推进、规则完善、漏洞修复等; 3、参与黑盒漏洞扫描器的需求设计和功能定义; 4、负责对业界新出的漏洞进行跟踪分析和应急响应。
1.负责微信电商的应用安全与数据安全,构建微信电商安全的交易架构; 2.深入了解微信电商业务场景,通过数据分析对风险进行发现和定性,设计并落地微信电商系统的纵深防御体系,提升微信电商架构系统的安全性,保障用户安全的交易体验; 3.构建微信电商数据安全体系,包括设计并落地数据安全产品,及推动微信电商数据安全风险治理。
负责公司的安全攻防能力建设,以下方向任选其一。 【Web应用安全方向】 1.负责公司应用安全生命周期的安全建设落地和运营; 2.负责公司黑盒扫描平台规则运营和优化; 3.负责公司白盒代码扫描平台的运营和优化; 4.负责跟踪业界安全攻防动态,追踪最新安全漏洞,进行研究分析。 【安全运营方向】 1.负责美团各类安全告警的运营及事件应急、排查,跟进相关风险修复; 2.负责美团安全攻防能力建设,包括日志/漏洞/后门分析,安全检测策略和模型的开发设计等; 3.负责美团资产域内各类型安全漏洞的修复推动及相关平台、数据能力建设; 4.负责前沿安全技术研究,并通过攻防演练等方式进行风险评估及提供防御建议。 【Windows/macOS安全方向】 1.参与Windows/macOS办公网安全客户端软件的架构设计、研发、性能优化等工作; 2.针对Windows/macOS系统及重要软件开展漏洞挖掘与攻防技术研究工作; 3.将安全研究成果转化到办公网安全产品中,保障公司主机及数据安全。 【移动安全方向】 负责移动端各平台(Android/iOS/小程序/H5等)攻防体系建设,内容涵盖移动端安全组件开发、设备风险识别、程序分析、漏洞及隐私合规检测等领域。 【云原生安全方向】 1.云原生安全研究,跟进业界云原生安全的最新研究成果,包括kubernetes、docker、linux系统等的安全攻防研究,并能够基于最新研究成果进行创新; 2.云原生安全研发,将研究成果转化落地,形成安全产品或能给业务方提供技术支持,保障云基础设施安全可靠运行。 【系统安全方向】 1.负责程序自动化漏洞挖掘能力的研究和能力建设; 2.负责程序行为分析技术的研究和能力建设; 3.负责美团内部业务漏洞挖掘、漏洞分析和漏洞利用,并进行能力沉淀; 4.负责AI和系统安全结合方向的研究,并将研究成果落地,解决实际业务问题。 【数据安全方向】 1.负责面向公司内及生态的数据安全技术体系建设和设计,包括不限于数据资产地图、UEBA、SIEM、API安全、数据加密、EDR、零信任等; 2.负责跨部门、跨公司推进数据安全技术方案及相关工具的落地及运营; 3.推进数据安全风险量化体系、响应机制及风险处理绩效考核。
1.安全规划:基于金融行业特性与企业业务发展战略,制定全面且前瞻性的信息安全战略规划,明确短期战术与长期战略目标。为金融机构决策层提供信息安全领域的专业建议,深度参与企业信息化建设的顶层设计,确保安全融入业务全流程。 2.风险评估与管理:运用专业工具与方法,定期对金融机构信息系统、网络架构、数据资产等进行全面风险评估,识别潜在安全威胁与脆弱点。针对评估结果,制定详尽的风险应对策略与风险处置预案,明确风险控制目标与优先级,合理分配资源以降低风险影响。持续监测风险态势,动态更新风险评估报告,及时预警潜在风险变化,为企业风险管理决策提供实时依据。 3.安全防护体系建设与优化:主导设计并构建金融机构多层次的信息安全防护体系,涵盖网络安全、应用安全、数据安全、终端安全等领域。负责安全技术选型与安全产品测试采购,确保所选产品与技术满足企业安全需求与行业最佳实践,组织实施安全产品的部署与集成。定期对安全防护体系进行漏洞扫描、渗透测试等安全检测,及时发现并修复安全漏洞,持续优化安全防护策略与措施。 4.安全运营与监控:建立并完善信息安全运营管理流程与制度,制定安全事件应急响应预案,确保安全运营工作规范化、标准化。负责安全监控平台的日常运维与管理,实时监测网络安全态势,及时发现并处置各类安全事件与告警信息。组织开展安全事件应急演练,提升团队应急响应能力与协同作战水平,在安全事件发生时,快速响应、有效处置,降低损失与影响。 5.安全培训与安全提升:制定并实施金融机构全员信息安全培训计划,针对不同岗位、不同层级人员设计差异化培训课程,提升员工信息安全意识与安全技能。 通过多种形式开展信息安全宣传活动,营造良好的企业安全文化氛围,使安全意识深入人心,促进全员参与信息安全防护。跟踪信息安全技术前沿发展趋势,开展新兴安全技术在金融行业的应用研究,如零信任安全、区块链安全、人工智能安全等。结合企业业务需求与安全挑战,探索安全技术创新应用,推动安全技术与业务深度融合,提升企业安全防护的智能化、自动化水平。
团队介绍:安全专项测试团队,支撑公司产品研发和工程架构测试团队的安全保障建设,旨在安全专业领域,尤其AI应用的业务场景持续挖掘深度,在标准化解决方案上通过自动化体系化的建设,更快更前置的发现、挖掘安全风险,持续提升各业务安全水位,为字节用户提供安全可靠的产品体验,为字节产品保驾护航。 1、参与业务的安全系统质量保障,包括不限于功能、性能、稳定性等; 2、参与业务的安全专项测试工作,建设业内领先的业务安全保障流程、方法、工具; 3、参与建设或引用公司的通用安全能力,提升质量部全业务线的安全发现能力或效率; 4、敏锐发现业务安全痛点,并提出改进方案,提升安全测试深度、测试效率。