京东SDL安全工程师
任职要求
1. 3-5年以上互联网行业产品安全建设经验; 2. 熟悉java、go、nodejs至少一门语言,能够独自完成源码审计工作,并熟悉spring系列以及主流框架的风险和安全实践; 3. 有越权漏洞检测治理、黑盒产品建设运营经验; 4. 对可信计算、认证、鉴权、加密、攻击缓解措施、纵深防御等在软件安全设计领域落地有独到理解; 5. 有框架层漏洞挖掘经验者优先; 6. 中英文工作交流。 符合京东价值观:客户为先、创新、拼搏、担当、感恩、诚信。
工作职责
1. 负责应用的安全开发生命周期(SDLC),包括安全测试、威胁建模、产品架构设计; 2. 熟悉主流应用框架的风险点和安全方案,根据业务需要提供支持; 3. 参与应用安全产品的能力建设,运营工作; 4. 输出及维护统一的安全解决方案,并能够推动方案的落地。
1. 参与移动应用安全漏洞审计,隐私合规审计; 2. 参与移动端SDL安全流程建设和运营; 3. 参与公司移动端安全功能的研发及维护,包括但不限于安全防护、风险设备识别、加密签名及设备指纹等功能; 4. 对接业务完成安全功能的融入及落地,支撑业务解决安全问题,提升安全能力。
主导SHEIN在全球业务中的应用安全建设,特别是在AI与传统应用安全融合的前沿阵地。 1、进化安全开发生命周期 (SDL) 你将负责SDL流程的持续优化与落地,并前瞻性地将AI安全(AI-Sec)标准融入其中,确保从传统应用到AI模型的每一个环节都具备原生的安全基因。 2、构建“智能驱动”的自动化安全防御体系 (DevSecOps) 你将设计和推动DevSecOps工具平台的建设,不仅要将SAST、DAST、IAST等工具深度集成至CI/CD,更要探索利用AI技术提升漏洞发现的精准度和效率,打造下一代自动化安全闭环。 3、开拓AI应用安全的蓝海 负责公司各类AI/ML应用(如AIGC、推荐系统、大语言模型应用)的安全评估与加固,研究并防御针对AI模型的特有攻击(如提示词注入、数据投毒、模型窃取等),制定并推行SHEIN的AI安全开发规范。 4、成为研发团队的“安全领航员” 与SHEIN全球的顶尖研发团队(包括算法和工程团队)紧密协作,作为他们最信赖的安全专家,提供从传统应用到AI应用的全方位安全指导,提升整个技术团队的安全认知和实战水平。
1. 负责公司各类Web服务端、APP、小程序的项目安全准出标准,SDL流程平台建设以及自动化安全能力建设,提升SDL流程的覆盖率与检测效率。 2.负责服务端漏洞生命周期管理,通过多种安全能力交叉减少安全漏洞暴露时间。 3.负责 WAF 产品的能力建设和规则运营。 4.应用安全研发过程安全建设,包括但不限于(SCA,SAST,DAST,安全基线)。
1、负责特定业务的应用安全工作,优化并提升安全水位,完成安全扫描及渗透测试; 2、参与SDL机制建设,推动SDL在业务线的落地,包括特定业务的安全评审及安全功能测试验证,根据业务场景制定安全方案,并协助接入相关安全能力; 3、负责数据安全工作,维护并落实数据安全制度体系,对风险告警进行分析研判,快速定位风险原因并制定解决方案,开展员工数据安全相关意识教育; 4、解读监管/行业新发布的安全合规要求,结合业务实际场景,体系化开展落地工作; 5、对外沟通,协助完成各类检查/测评。 6、负责国际安全业务的机制完善,具体建设与落地