職責描述：

1、參與公司自研及部分外采系統(tǒng)的代碼審計和漏洞驗證工作，確保應用安全上線；

2、參與云服務(wù)應用的漏洞挖掘，對業(yè)務(wù)應用進行架構(gòu)、功能以及代碼實現(xiàn)等層面安全風險進行評估；

3、配合完成代碼審計相關(guān)的工作（例如：安全編碼規(guī)范制定、代碼審計指南編寫、系統(tǒng)上線發(fā)布流程要求及代碼審計技能培訓等）；

4、對代碼掃描平臺規(guī)則進行維護，降低誤報，增加漏洞的有效檢出率；

5、跟蹤和分析業(yè)界最新安全漏洞，引入業(yè)界先進的測試工具，輸出測試指導。

任職要求：

1、本科及以上學歷，碩士及以上學歷者優(yōu)先，計算機或信息安全相關(guān)專業(yè)，具有2年及以上相關(guān)工作經(jīng)驗；

2、掌握Java、Python、Objective-c等至少一種開發(fā)語言，具備基本的代碼編寫和審閱能力，有開發(fā)經(jīng)驗者優(yōu)先；

3、熟悉軟件安全開發(fā)生命周期，各種SDLC工具，有實際SDL/DevSecOps工作和落地經(jīng)驗；

4、熟悉常見web安全漏洞、業(yè)務(wù)邏輯漏洞的原理、攻擊方法和防御方法；掌握代碼審計，黑盒安全測試、滲透測試相關(guān)技能，具備獨立漏洞挖掘能力，有豐富漏洞挖掘經(jīng)驗；

5、了解行業(yè)主流的安全標準、安全模型、安全解決方案、安全體系的優(yōu)先；

6、熟悉SAST、DAST、IAST、RASP、Fuzzing相關(guān)技能優(yōu)先。