職責(zé)描述：

1、參與公司自研及部分外采系統(tǒng)的代碼審計(jì)和漏洞驗(yàn)證工作，確保應(yīng)用安全上線；

2、參與云服務(wù)應(yīng)用的漏洞挖掘，對業(yè)務(wù)應(yīng)用進(jìn)行架構(gòu)、功能以及代碼實(shí)現(xiàn)等層面安全風(fēng)險(xiǎn)進(jìn)行評估；

3、配合完成代碼審計(jì)相關(guān)的工作（例如：安全編碼規(guī)范制定、代碼審計(jì)指南編寫、系統(tǒng)上線發(fā)布流程要求及代碼審計(jì)技能培訓(xùn)等）；

4、對代碼掃描平臺規(guī)則進(jìn)行維護(hù)，降低誤報(bào)，增加漏洞的有效檢出率；

5、跟蹤和分析業(yè)界最新安全漏洞，引入業(yè)界先進(jìn)的測試工具，輸出測試指導(dǎo)。

任職要求：

1、本科及以上學(xué)歷，碩士及以上學(xué)歷者優(yōu)先，計(jì)算機(jī)或信息安全相關(guān)專業(yè)，具有2年及以上相關(guān)工作經(jīng)驗(yàn)；

2、掌握J(rèn)ava、Python、Objective-c等至少一種開發(fā)語言，具備基本的代碼編寫和審閱能力，有開發(fā)經(jīng)驗(yàn)者優(yōu)先；

3、熟悉軟件安全開發(fā)生命周期，各種SDLC工具，有實(shí)際SDL/DevSecOps工作和落地經(jīng)驗(yàn)；

4、熟悉常見web安全漏洞、業(yè)務(wù)邏輯漏洞的原理、攻擊方法和防御方法；掌握代碼審計(jì)，黑盒安全測試、滲透測試相關(guān)技能，具備獨(dú)立漏洞挖掘能力，有豐富漏洞挖掘經(jīng)驗(yàn)；

5、了解行業(yè)主流的安全標(biāo)準(zhǔn)、安全模型、安全解決方案、安全體系的優(yōu)先；

6、熟悉SAST、DAST、IAST、RASP、Fuzzing相關(guān)技能優(yōu)先。