職責(zé)描述：

1、參與公司自研及部分外采系統(tǒng)的代碼審計(jì)和漏洞驗(yàn)證工作，確保應(yīng)用安全上線；

2、參與云服務(wù)應(yīng)用的漏洞挖掘，對(duì)業(yè)務(wù)應(yīng)用進(jìn)行架構(gòu)、功能以及代碼實(shí)現(xiàn)等層面安全風(fēng)險(xiǎn)進(jìn)行評(píng)估；

3、配合完成代碼審計(jì)相關(guān)的工作（例如：安全編碼規(guī)范制定、代碼審計(jì)指南編寫(xiě)、系統(tǒng)上線發(fā)布流程要求及代碼審計(jì)技能培訓(xùn)等）；

4、對(duì)代碼掃描平臺(tái)規(guī)則進(jìn)行維護(hù)，降低誤報(bào)，增加漏洞的有效檢出率；

5、跟蹤和分析業(yè)界最新安全漏洞，引入業(yè)界先進(jìn)的測(cè)試工具，輸出測(cè)試指導(dǎo)。

任職要求：

1、本科及以上學(xué)歷，碩士及以上學(xué)歷者優(yōu)先，計(jì)算機(jī)或信息安全相關(guān)專(zhuān)業(yè)，具有2年及以上相關(guān)工作經(jīng)驗(yàn)；

2、掌握J(rèn)ava、Python、Objective-c等至少一種開(kāi)發(fā)語(yǔ)言，具備基本的代碼編寫(xiě)和審閱能力，有開(kāi)發(fā)經(jīng)驗(yàn)者優(yōu)先；

3、熟悉軟件安全開(kāi)發(fā)生命周期，各種SDLC工具，有實(shí)際SDL/DevSecOps工作和落地經(jīng)驗(yàn)；

4、熟悉常見(jiàn)web安全漏洞、業(yè)務(wù)邏輯漏洞的原理、攻擊方法和防御方法；掌握代碼審計(jì)，黑盒安全測(cè)試、滲透測(cè)試相關(guān)技能，具備獨(dú)立漏洞挖掘能力，有豐富漏洞挖掘經(jīng)驗(yàn)；

5、了解行業(yè)主流的安全標(biāo)準(zhǔn)、安全模型、安全解決方案、安全體系的優(yōu)先；

6、熟悉SAST、DAST、IAST、RASP、Fuzzing相關(guān)技能優(yōu)先。