Cyber Security Architect
主要负责整车信息安全,做的是白盒代码审核工作,投递前先看一下是不是拥有代码审核经验。
岗位职责:
参与ATOM系统和产品的开发过程,负责ATOM产品网络安全角度的源码审计,提供相关安全漏洞的分析及解决方案,并完善开发规范,职责如下:
1.深度代码审计与分析:
·具备汽车功能在代码层级实现逻辑的知识能力,并对智能网联汽车相关的软件组件进行全面的白盒和灰盒安全审计,从代码层级发现安全弱点及漏洞,掌握包括但不限于:车载嵌入式软件Android/Linux系统应用(Java/C++)、车云通信平台,OTA升级服务、移动端App等知识;
·熟练掌握并运用多种分析工具对目标代码进行自动化扫描,并能够对工具产生的报告进行深度研判,去伪存真,识别真正的漏洞;
·具备强大的手动代码审计能力,能够脱离工具,基于对功能逻辑、数据流、控制流的深刻理解,发现工具无法识别的逻辑漏洞、设计缺陷和深层安全风险。
2.漏洞挖掘与利用分析:
·对系统中常见的漏洞原因,原理,可利用性和风险程度进行相关分析,如SQL注入,xss,命令执行,越权/未经授权操作等漏洞,也能针对汽车特有的协议(如CAN, LIN, SOME/IP, DoIP)、安全策略(安全启动,安全存储,安全通信)等进行定向审计,发现领域特定漏洞;
·分析漏洞的可利用性和攻击场景,评估漏洞被利用后对车辆安全的潜在影响等级(例如:是否会导致车辆非授权控制、功能滥用、隐私数据泄露、行车安全风险),基于漏洞风险等级制定处置措施;
任职要求:
1.5年以上汽车网络安全或嵌入式安全经验,熟悉AutoSAR、车载OS(QNX/ Linux/ Android Automotive);
2.具备代码审计经验,具有0day挖掘经验,具备一定的代码能力,能对Python、C++、Java代码逻辑进行解析和审计;
3.熟练使用常见渗透测试工具(如 Burp Suite、SQLmap 等);
4.熟悉云端安全(AWS/IoT Core、Azure Sphere)、PKI系统和OTA安全流程,熟悉。
5.具备安全事件溯源能力;
6.具有专业安全厂商安全服务及开发从业经验者优先。
7.良好的跨团队沟通能力,英语读写熟练。